MyBatis提供了防止动态表名注入的方法,可以通过使用动态SQL和参数替换来实现。
<if>
、<choose>
、<when>
、<otherwise>
等,根据条件判断来拼接表名。例如:<select id="selectUserById" resultType="User">
SELECT * FROM
<choose>
<when test="tableType == 'A'">
table_A
</when>
<when test="tableType == 'B'">
table_B
</when>
<otherwise>
table_C
</otherwise>
</choose>
WHERE id = #{id}
</select>
<select id="selectUserById" resultType="User">
SELECT * FROM #{tableName}
WHERE id = #{id}
</select>
在Java代码中,将表名作为参数传递给MyBatis的方法:
String tableName = "table_A";
int id = 1;
User user = sqlSession.selectOne("selectUserById", Collections.singletonMap("tableName", tableName));
通过这种方式,可以确保表名是从可信来源获取,避免了直接拼接表名导致的注入风险。