厚积薄发，博观约取

<!-- WARNING - @mbggenerated This element is automatically generated by MyBatis Generator, do not modify. This element was generated on Wed Jun 18 09:55:34 CST 2014. -->insert into ad_advertise_t (

原文地址：（）  sql注入大家都不陌生，是一种常见的攻击方式，攻击者在界面的表单信息或url上输入一些奇怪的sql片段，例如“or ‘1’=’1’”这样的语句，有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作，来防备这样的攻击方式。在一些安全性很高的应用中，比如银行软件，经常使用将sql语句全部替换为存储过程这样的方式，来防止sql注入，这当然是一种很安全的方式，但我们平时

select,from ad_advertise_t where is_del=0 and  user_id in<foreach item="item" index="index" collection="list" open="("separator="," close=")">#{item}

第一种方法：因为这个是xml格式的，所以不允许出现类似“>”这样的字符，但是都可以使用符号进行说明，将此类符号不进行解析 。 mapper文件示例代码： select * from ad_n_advertise_t where user_id in #{item} and isdelete=#{isdelete,jdbcType=TINYINT}

据我目前接触到的传多个参数的方案有三种。第一种方案DAO层的函数方法Public User selectUser(String name,String area);对应的Mapper.xml select * from user_user_t where user_name = #{0} and user_area=#{1}其中，#{0}代表接收的