mybatis防止SQL注入的方法:
mybatis在框架底層,是JDBC中的PreparedStatement類在起作用,因此mybatis啟用了預編譯功能,從而降低了SQL注入的風險,例如:
//安全的,預編譯了的
Connection conn = getConn();//獲得連接
String sql = "select id, username, password, role from user where id=?"; //執行sql前會預編譯號該條語句
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, id);
ResultSet rs=pstmt.executeUpdate();
