#{}方式能够很大程度防止sql注入,${}方式无法防止Sql注入。
建议大家使用#,至于什么时候用$符号进行传参。
有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。
当使用${}参数作为字段名或表名时,需指定statementType为“STATEMENT”
#{}方式能够很大程度防止sql注入,${}方式无法防止Sql注入。
建议大家使用#,至于什么时候用$符号进行传参。
有时候可能需要直接插入一个不做任何修改的字符串到SQL语句中。这时候应该使用${}语法。
当使用${}参数作为字段名或表名时,需指定statementType为“STATEMENT”