$value$
1. 没有进行预编译,直接将传入的参数替换value
2. 容易发生SQL注入
(没有对SQL进行预编译)
(student.xml中的SQL语句)
(尝试进行sql注入)
#value#
1. 会进行预编译成?占位符
2. 不会发生SQL注入
(SQL将参数预编译成?占位符)
(Student.xml中的SQL语句)
(尝试进行SQL注入)
(sql注入失败)