如果tableName是用户可控的,攻击者可以构造恶意输入,如users; DROP TABLE orders,从而执行危险的SQL命令。 2. 研究MyBatis官方文档,了解替代${}的安全做法 MyBatis官方推荐使用#{}进行参数绑定,因为#{}会对输入进行预处理和转义,从而防止SQL注入。然而,#{}通常用于列值,而不适用于表名或排序字段等SQL结构部分。