sql注入问题: 查询数据库时候,使用字符串拼接,进行非法登陆,获取以及篡改数据库信息 JDBC解决办法: preparedstatement 代替statement Mybatis解决办法: 1.推荐#,自动调用preparedstatement 2.$调用statement # 和 $区别 #使用 ?在sql语句中做站位的, 使用PreparedStatement执行sql,效率高 #能够避免sql注入,更安全。 $不使用占位符,是字符串连接方式,使用Statement对象执行sql,效率低 $有sql注入的风险,缺乏安全性。 $:可以替换表名或者列名