statementType:标记操作SQL的对象
取值说明:
1、STATEMENT:直接操作sql,不进行预编译,获取数据:${} ——有 SQL 注入的风险
#{xxx} 就不能用了 需要换成${xxx}
sql 直接进行的字符串拼接,如果为字符串需要加上引号
2、PREPARED:预处理,参数,进行预编译,获取数据:#{ }——默认
是使用的参数替换,也就是索引占位符,我们的#会转换为?再设置对应的参数的值。
3、CALLABLE:执行存储过程————CallableStatement