纪念第一次经历sql注入攻击

这是公司老项目,并不是我写的,我只负责维护.突然有一天产品告诉我 用户里面多了几百条一样的用户,我就去看了下数据库,结果发现了猫腻.
这个项目用的纯mybatis,没有使用mybatisplus.sql里面使用的是#{}注入,并不是${},但依然遭到了sql注入攻击.
最终我采用的解决方案是把openid进行替换,把sql的关键字 “–” “and” "or"等等全部替换成空白,让他sql无法运行.
应该还有更好的方法,但是我目前技术有限,这是我能想到的最简单的方法.做一个记录.