在 Spring Boot 和 MyBatis 中，防止 SQL 注入的主要方法包括：

1.使用 MyBatis 的动态 SQL

MyBatis 提供了安全构建 SQL 查询的方式，推荐使用动态 SQL 标签（如 <if>、<choose>、<foreach> 等）构建查询条件，而不是直接拼接字符串。这样可以避免手动拼接时带来的注入风险。
示例：

<select id="findByCondition" parameterType="map" resultType="User">SELECT * FROM users<where><if test="name != null">AND name = #{name}</if><if test="age != null">AND age = #{age}</if></where>
</select>

2. 使用 MyBatis 的 #{} 进行参数绑定

在 MyBatis 中，使用 #{} 而不是 ${} 来绑定参数。#{} 可以确保参数被预编译为 SQL 语句中的占位符，MyBatis 会自动进行参数转义，防止注入。

• #{}：会预编译 SQL 语句，防止注入（安全）
• ${}：直接拼接参数，可能会导致注入风险（不安全）

示例：

<select id="getUserById" resultType="User">SELECT * FROM users WHERE id = #{id}
</select>

3. 限制用户输入

对用户输入进行严格的校验，确保输入符合预期的格式。可以在前端或后端对输入进行校验，避免非预期的字符或格式进入 SQL 语句。

4. 使用框架的防护功能

配合使用 Spring Security 等框架提供的 SQL 注入防护机制，进一步增强应用的安全性。