mybatis 防止sql注入的原理

sql语句的生成有两种方式，一种是手动拼接sql字符串，另一种是使用带占位符的sql预编译，然后填入参数。

mybatis使用的就是预编译的方式，mybatis 在显示sql语句的时候，都会显示出带？的sql语句， 说明mybatis使用了数据库的预编译功能，sql注入只对编译前的sql起任凭，对编译的sql语句起不了作用，所以就可以避免sql注入的问题。

mybatis 使用jdbc的  preparestatement功能来使用预编译功能，这样既提高了效率，又安全。

,mybatis在 sqlmap里面写sql语句的时候，显示参数的时候可以使用#号，也可以使用$,  在使用的时候我们尽量要使用#,  因为#才能起用预编译功能，使用$的时候是直接以字符串方式拼在sql里面，而不是以占位符的方式存在。 一般只有在动态的表名或者列名才使用$输出参数，比如每天使用一张新表插入统计数据，这样的表名带有日期信息的，就要动态生成了。