SQL 注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
在使用JAVA ORM时基本不用担心防范SQL injection，而在使用JDBCtemplate时，由于用到了sql命令，所以可能会注意对Sql注入得防范。
下面以sql语句
select * from table_name where id = 1 OR 1=1
为例进行分析。

Demo1

  @RequestMapping(method = RequestMethod.GET)
    public @ResponseBody
    List<Customer> getCustomerByid(@RequestParam String id) {
        return jdbcTemplate.query(
                "SELECT * FROM customers WHERE ?",
                new CustomerMapper(),id);
    }

在postman中进行实验

可以看到JDBCtemplate对参数化sql查询进行了验证，从而防范了sql注入。

Demo2

@RequestMapping(method = RequestMethod.GET)
    public @ResponseBody
    List<Customer> getCustomerByid(@RequestParam String id) {
        String sql = "SELECT * FROM customers WHERE +id";
        return jdbcTemplate.query(sql, new CustomerMapper());
    }

在postman中进行实验

Paste_Image.png

在这种直接拼接sql语句的情况下，发生了sql入侵。

总结

JDBCtemplate中对参数化的sql查询有着良好的验证机制，因此建议使用参数化SQL的方式。