1、 举一个简单的SQL注入攻击的例子：
假如我们有一个users表，里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。比如：” select id from users where username = ‘”+username +”’ and password = ‘” + password +”’ ” 这里的username和password都是我们存取从web表单获得的数据。下面我们来看一下一种简单的注入，如果我们在表单中username的输入框中输入’ or 1=1#，password的表单中随便输入一些东西，假如这里输入123.此时我们所要执行的sql语句就变成了select id from users where username = ” or 1=1# and password = ‘123’，我们来看一下这个sql，因为1=1是true，后面 and password = ‘123’被注释掉了。所以这里完全跳过了sql验证。（在Mysql中#以后代表注释掉后面的语句）

2、java中预处理PrepareStatement为什么能起到防止SQL注入的作用
其实是因为SQL语句在程序运行前已经进行了预编译，在程序运行时第一次操作数据库之前，SQL语句已经被数据库分析，编译和优化，对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询，当运行时动态地把参数传给PreprareStatement时，即使参数里有敏感字符如 or ‘1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令，如此，就起到了SQL注入的作用了！
3、Mybatis中怎样防止SQL注入
使用占位符#{}，而不是使用连接符${}；
简单说，#{}是经过预编译的，是安全的；${}是未经过预编译的，仅仅是取变量的值，是非安全的，存在SQL注入。