#{}:传入的内容会被作为字符串,被加上引号,以预编译的方式传入,
安全性高,可以防止sql注入。
${}:传入的内容会直接拼接,不会加上引号,可能存在sql注入的安全隐患。
所以能用#{}的地方就用#{},但是诸如传入表名,
需要排序的时候order by 字段 的 “字段名”的时候可以用${}.
#{}:传入的内容会被作为字符串,被加上引号,以预编译的方式传入,
安全性高,可以防止sql注入。
${}:传入的内容会直接拼接,不会加上引号,可能存在sql注入的安全隐患。
所以能用#{}的地方就用#{},但是诸如传入表名,
需要排序的时候order by 字段 的 “字段名”的时候可以用${}.