- #{param} 生成的sql中将该参数使用?占位符替换,预编译后传入实际参数,使用PreparedStatement发送sql
- ${param}生成sql中将该参数的值直接替换到该位置的,如果是字符串一定要添加’’
- 使用${param}时,即使statementType使用PREPARED,也可能出现SQL注入
- 建议使用statementType="PREPARED"和#{param}组合防止SQL注入
Mybatis_#{param}和${param}的区别
最新推荐文章于 2020-04-21 11:12:33 发布