在使用MyBatis进行SQL查询时，应该考虑到安全性和防范注入攻击的问题。以下是一些建议：

使用预编译语句：在MyBatis中，可以使用#{param}的方式来设置参数，而不是直接拼接SQL字符串。这样可以防止SQL注入攻击。

参数验证：在接收参数前，应该对参数进行验证，确保参数的合法性和安全性。

使用参数化查询：在执行SQL查询时，应该使用参数化查询，而不是将参数直接拼接到SQL语句中。

限制查询权限：在配置MyBatis的用户权限时，应该限制用户只能执行特定的查询操作，防止用户恶意注入SQL语句执行危险操作。

对输入进行过滤：对用户输入的内容进行过滤，确保输入的内容符合预期，并且不包含恶意代码。

使用安全框架：如果可能的话，可以考虑使用安全框架来进一步加强系统的安全性，例如Spring Security等。

总的来说，通过使用预编译语句、参数验证、参数化查询等方法，可以有效地提高MyBatis查询的安全性，防范注入攻击。同时，开发人员也应该加强对安全性的意识，及时更新和修复可能存在的安全漏洞。