使用$符号一般情况下是在 LIKE 模糊查询的时候,例如
SELECT * FROM User WHERE name LIKE '%${name}%'
但是这个情况很容易被恶意注入SQL语句,安全性不高,数据别人一注入就都被找到了,所以能别用$就别用了,尽量用#来实现
若像LIKE这样的又要用到$的时候,可以用这样来替代
SELECT * FROM User WHERE name LIKE concat('%',#{name},'%')
这样是不会被恶意注入的
使用$符号一般情况下是在 LIKE 模糊查询的时候,例如
SELECT * FROM User WHERE name LIKE '%${name}%'
但是这个情况很容易被恶意注入SQL语句,安全性不高,数据别人一注入就都被找到了,所以能别用$就别用了,尽量用#来实现
若像LIKE这样的又要用到$的时候,可以用这样来替代
SELECT * FROM User WHERE name LIKE concat('%',#{name},'%')
这样是不会被恶意注入的