mybatis 3如何防止SQL注入

现在互联网时代，安全一直是一个长久不衰话题，我们经常用到各种各样的架构，模式，但我们最基础的还是要和数据库打交道，数据才是王道，所以，经常有很多盗取数据之人，故对数据的安全尤为重要。

在平常中，最常用的攻击是SQL注入攻击，会以下方式攻击者在界面的表单信息或url上输入一些奇怪的sql片段，例如“or ‘1’=’1’”这样的语句来实现盗取数据的目的，尤其是对校验方面经验较浅或疏于注意，不过幸好MYATIS提供了一些相对应的方式来防范。

mybatis传参数时提供了两种方式#{xxxx<, jdbcType=数据库字段类型>} 与${xxxx}, 这两者的区别在于前者mybatis将参数部分直接编译成占位符，即"?", 而后者直接编译成原生的sql语句，这将是构成sql注入的漏洞， like查询更甚，容易忽略这一点，所以，以下给出相应不同数据库的SQL语句

      Mysql: select * from mytabe where cname like concat('%', #{name,jdbcType=VARCHAR}, '%')      
     Oracle: select * from mytable where cname like '%' || #{name, jdbcType=VARCHAR} || '%'      
     SQLServer: select * from mytable where cname like '%' + #{name,jdbcType=VARCHAR} + '%'