Mybatis OrderBy如何避免SQL注入

MyBatis 提供了一个<if>标签来动态拼接ORDER BY子句，可以有效避免 SQL 注入。具体做法如下：

1. 在 MyBatis 的 SQL 映射文件中使用<if>标签来判断是否需要添加ORDER BY子句。

<select id="selectUsers" resultType="User"> SELECT * FROM users <if test="orderBy != null"> ORDER BY ${orderBy} </if> </select> 

2. 在调用该 SQL 语句时，通过传入参数的方式来控制orderBy变量的取值，从而避免直接拼接 SQL 语句导致的 SQL 注入风险。

public List<User> selectUsers(String orderBy) { return sqlSession.selectList("selectUsers", orderBy); } 

通过以上方式，可以有效防止 SQL 注入问题，保障系统的安全性。