1.区分 ${} 与 #{}
${} 取值直接插入sql语句中,不带引号,不能防止sql注入,需要把字段名直接放入sql语句时使用,如order by xxx
#{} 相当于jdbc中的占位符?,取值放入sql语句时带引号,可以防止sql注入,能用#{} 时,就不要用${}
1.区分 ${} 与 #{}
${} 取值直接插入sql语句中,不带引号,不能防止sql注入,需要把字段名直接放入sql语句时使用,如order by xxx
#{} 相当于jdbc中的占位符?,取值放入sql语句时带引号,可以防止sql注入,能用#{} 时,就不要用${}