阅读量:1
MyBatis提供了防止动态表名注入的方法,可以通过使用动态SQL和参数替换来实现。
- 使用动态SQL:在SQL语句中使用动态标签,如
<if>
、<choose>
、<when>
、<otherwise>
等,根据条件判断来拼接表名。例如:
<select id="selectUserById" resultType="User"> SELECT * FROM <choose> <when test="tableType == 'A'"> table_A </when> <when test="tableType == 'B'"> table_B </when> <otherwise> table_C </otherwise> </choose> WHERE id = #{id} </select>
- 使用参数替换:将表名作为参数传递给SQL语句,通过参数替换的方式来防止注入。例如:
<select id="selectUserById" resultType="User"> SELECT * FROM #{tableName} WHERE id = #{id} </select>
在Java代码中,将表名作为参数传递给MyBatis的方法:
String tableName = "table_A"; int id = 1; User user = sqlSession.selectOne("selectUserById", Collections.singletonMap("tableName", tableName));
通过这种方式,可以确保表名是从可信来源获取,避免了直接拼接表名导致的注入风险。