MyBatis 如何防止 SQL 注入 ？

解答思路：

防止SQL注入的最佳实践是使用参数化查询或者预处理语句。MyBatis作为一个流行的Java持久层框架，它内置了防止SQL注入的机制。MyBatis通过预处理语句和绑定参数的方式，确保用户输入不能直接被插入到SQL语句中，从而避免SQL注入攻击。此外，还可以配合使用白名单验证等策略来进一步增强安全性。

最优回答：

MyBatis通过预处理语句和绑定参数的方式防止SQL注入。在MyBatis中，我们应避免直接在SQL语句中拼接用户输入，而应该使用参数化查询或映射文件来绑定参数。此外，我们还可以采用其他安全措施如白名单验证来增强系统的安全性。

1. 参数化查询：参数化查询是一种在查询中使用占位符代替直接插入用户输入的方式。这种方式可以确保用户输入被正确处理，而不是被解释为SQL代码的一部分。MyBatis使用预处理语句来实现参数化查询，这是一种有效的防止SQL注入的方式。
2. 白名单验证：除了参数化查询，白名单验证也是一种有效的防止SQL注入的策略。在这种策略中，只允许预定义的安全输入通过，其他的输入则被拒绝。这可以进一步确保用户输入的安全性。
3. 其他安全措施：除了上述两种策略，还可以采取其他安全措施来增强系统的安全性，比如使用最新的数据库安全补丁、限制数据库权限、定期审计和检查代码等。