造成SQL注入攻击的根本原因在于攻击者可以改变SQL查询的上下文,使程序员原本要作为数据解析的数值,被篡改为命令了。防止SQL注入的方法如下:

    正确使用参数化API进行SQL查询。
    如果构造SQL指令时需要动态加入约束条件,可以通过创建一份合法字符串列表,使其对应于可能要加入到SQL指令中的不同元素,来避免SQL注入攻击。

    1. <!--select user information by name-->
    2. <select id="queryByUserName" resultMap="userResultMap" parameterType="String">
    3. select * from db_user where user_name=#{username}
    4. </select>