myBatis的SQL注入问题

sqlMap中尽量不要使用$;$使用的是Statement（拼接字符串），会出现注入问题。#使用的是PreparedStatement（类似于预编译），将转义交给了数据库，不会出现注入问题；.前者容易出现SQL注入之类的安全问题，所以ibatis推荐使用#。1、 正确使用$示例：ORDER BY $sortFieldName$ $sortType$，当参数是数据库字段名时这样使用是合适的，但一定注意这些参数一定不能是用户输入的。2、 错误使用$示例：URL LIKE '%$URL$%'，比如参数URL传进一个单引号“'”，生成的sql语句会是：URL like '%'%',这样肯定是会报错的，解决方法是利用字符串连接的方式来构成sql语句，此处应该改为: URL LIKE '%’||#URL#||’%'。3、 错误的使用$一般都出现在 like后面，可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# ， $%替换为#||’%。 综上：对于like语句，难免要使用$写法， 1. 对于Oracle可以通过'%'||'#param#'||'%'避免； 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免； 3. MSSQL中通过'%'+#param#+'% 。 如下3种SQL语句：?