mybatis动态表名如何避免SQL注入

要避免 MyBatis 中的 SQL 注入，可以通过以下方式来动态构建表名：

1. 在 Mapper 接口中使用 @Param 注解传递表名参数，并在 SQL 语句中使用 #{paramName} 来援用参数。例如：

public interface MyMapper {
List selectByTableName(@Param("tableName") String tableName);
}

SELECT * FROM ${tableName}

1. 使用 MyBatis 提供的动态 SQL 标签，如 、、 等来根据区分的条件构建区分的 SQL 语句。这样可以在构建 SQL 语句时对表名进行校验和处理。例如：

SELECT * FROM table1


SELECT * FROM table2


SELECT * FROM defaultTable

这样可以确保表名参数不会被直接拼接到 SQL 语句中，并且对传入的表名进行了校验和处理，从而避免 SQL 注入攻击。