Sql注入

1、什么是sql注入？

比如说，我们通过前端传递参数的时候，如果没有做校验，参数里面包含了一些sql语句，最终拿到数据库中去执行了

2、怎么防止sql注入?

sql注入只会发生在sql编译的过程中，那么避免非法sql被编译，就是我们要做的事情

2.1 在JDBC中使用PreparedStatement:

事先将sql语句传入PreparedStatement中，将要传入的参数用？代替，那么该sql语句就会进行预编译。通过set方式传入编译后的sql语句，那么此时注入的sql语句无法得到编译，从而避免了sql注入。

PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, userName);
preparedStatement .setString(2, password);

2.2 mybatis尽量使用#{}，而不是${}

#{ }就像是JDBC中的？mybatis通过使用#{ }的方式，代表该语句在执行之前会经过预编译的过程，传入的参数通过占位符的方式填入到已经编译完的语句中。

但使用${ }的参数会直接参与编译，不能避免sql注入