解决mybatis使用${}时sql注入的问题

最近在上线项目的时候，代码审查没有通过，提示有sql注入的风险。

ORDER BY ${orderBy}

很简单的一个排序字段，但是因为使用 ${} 占位符的原因，有sql注入的风险，相信大家平时也经常会使用这个占位符，不知道有没有考虑sql注入的问题，下面简单介绍下 #{} 和 ${} 的区别以及为什么使用 ${} 会有sql注入的问题。

区别

• #{}是一个参数占位符，对于String类型会自动加上""，其他类型不加。由于Mybatis采用预编译，其后的参数不会再进行SQL编译，所以一定程度上防止SQL注入。
• ${}是一个简单的String替换，字符串是什么，解析就是什么。
• 类如order by。假如前端传的参数是id(假设id是String类型)，对于order by #{id},对应的sql语句就是 order by “id”;对于order by ${id},对应的sql语句则是order by id。这种情况，当用户传参为id && 1=1 的时候，就会产生难以预计的后果。

解决方法

• 在原实体类里加入一个map

 public Map indexMap=new HashMap(){
        {
            put("spaceId","space_id"); // key为前端传的值，value为数据库对应的列值
            put("optTi