mybatis的xml配置中使用${}可能发生SQL注入，应使用#{}

项目中遇到了这样的情况，在页面的文本域输入一堆某表的编号，每行是一个编号，用这些编号在后台查询数据库表的code字段。

比如输入的编号是：

AAA

BBB

CCC

错误示范：

从前台页面获得参数后，参数用/n分割，加好双引号和逗号，最后拼成一个类似”AAA”,”BBB”,”CCC”的字符串，在xml配置中使用 code in (${codeArray})的形式把字符串传给数据库，就像这样：

<if test="codeArray !=null">	code in (${codeArray})</if>
处理之后的sql大概是这样的：
select * from table where code in (”AAA”,”BBB”,”CCC”);
 
存在的问题：可能出现sql注入
比如：如果在文本域输入的内容是123") or true or (id="，最后拼成的sql就会是这样的：
select * from table where code in (“123”)or true or (id=””);
查询的结果会是表内所有的记录。
 
建议的方式：使用#{}，列表的情况可以用mybatis的<foreach>标签来配合，比如这样：
<if test="codeArray !=null">    code in    <foreach collection="codeArray" item="item" index="index"open="(" close=")" separator=",">        #{value}    </foreach></if>
这种方式最后处理的结果是这样的：
select * from tablewhere code in(  ?)
[" 123/") or true or(id=/""]
不会查询出所有的结果，避免了SQL注入。
 
所以，能用#{}就不要用${}了。