什么是sql注入,也可以看一些好的博客,比如 http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html。
预防sql注入:
1. 不使用${}在sql中取值,可以用%||#{}||%代替,每个数据库方言不同,具体可以看看这里https://www.cnblogs.com/forget406/p/5506394.html。
2. 使用标签连接,比如(这样可以在数据库不同的时候,也都是可以用的)
<if test="usname!= null and usname!=''"> <bind name="usnamesql" value="'%' + _parameter.usname+ '%'" /> and us_name like #{usnamesql} </if>
3. 在传入参数的时候进行参数校验,参考这里https://www.cnblogs.com/baizhanshi/p/6002898.html。
还有其它的方式不太知道了,后续看到再添加吧,哈哈~~