1.占位符#{},防止注入,例:
and names like concat('%',#{search.name},'%')
2.字符串拼接符{},$将传入的数据直接显示生成在sql中,例:
and names like '%${search.name}%'
3.sql语句中使用字符串拼接符,可能会引起sql注入的问题.当是在mybatis框架中可以放心使用,原因是mybatis是dao层后端开发,数据在表现层,业务层service已经处理好.
1.占位符#{},防止注入,例:
and names like concat('%',#{search.name},'%')
2.字符串拼接符{},$将传入的数据直接显示生成在sql中,例:
and names like '%${search.name}%'
3.sql语句中使用字符串拼接符,可能会引起sql注入的问题.当是在mybatis框架中可以放心使用,原因是mybatis是dao层后端开发,数据在表现层,业务层service已经处理好.