Mybatis OrderBy如何避免SQL注入

MyBatis 提供了一个<if>标签来动态拼接ORDER BY子句，可以有效避免 SQL 注入。具体做法如下：

在 MyBatis 的 SQL 映射文件中使用<if>标签来判断是否需要添加ORDER BY子句。

<select id="selectUsers" resultType="User">    SELECT * FROM users    <if test="orderBy != null">        ORDER BY ${orderBy}    </if></select>

在调用该 SQL 语句时，通过传入参数的方式来控制orderBy变量的取值，从而避免直接拼接 SQL 语句导致的 SQL 注入风险。

public List<User> selectUsers(String orderBy) {    return sqlSession.selectList("selectUsers", orderBy);}

通过以上方式，可以有效防止 SQL 注入问题，保障系统的安全性。