预编译sql 1.高效 2.防止sql注入。 sql注入 本质利用了字符串拼接。 #{}与${}区别 前者转义,后者拼接。 在‘’中不能使用前者,要用后者;或者用concat (sql函数)。 复杂sql使用xml配置 1.同包同名 2.namespqce 3.id,单条记录返回类型(全限定名) 动态sql 使用标签:if,where(自动消除where或and),set(自动消除逗号)