占位符替换:
select * from user where u_username like "#{id}" 替换id时 比如传参为1 替换时填进去的是 '1'
字符串拼接
select * from user where u_username like "%${value}%"
替换时 比如传参为王字 则替换进去的是 王 并没有单引号
所以字符串拼接容易导致sql注入 尽量选用占位符
占位符替换:
select * from user where u_username like "#{id}" 替换id时 比如传参为1 替换时填进去的是 '1'
字符串拼接
select * from user where u_username like "%${value}%"
替换时 比如传参为王字 则替换进去的是 王 并没有单引号
所以字符串拼接容易导致sql注入 尽量选用占位符