参数占位符
<select id="selectById" parameterType="int" resultMap="brandResultMap">
select *
from tb_brand where id= #{id};
</select>
1.#{}:会将其替换为 ? ,为了防止sql注入 2.${}:拼sql, 存在sql注入问题 3.使用时机: *参数传递的时候: #{} *表名或列名不固定的情况下可以使用:${} 存在sql注入问题
特殊字符(如 <)处理方法
1.转义字符 如<表示< 2.CDATA区:打CD提示
<![CDATA[
]]>