select id,name, email,age from student where id=#{id}
# 的结果: select id,name, email,age from student where id=?
String sql ="select id,name, email,age from student where id=? "
//使用的PreparedStatement对象执行sql
使用$ {}的SQL语句:
select id,name, email,age from student where id=${id}
$ 的结果:select id,name, email,age from student where id=1001
String sql="select id,name, email,age from student where id=" + "1001";
// 使用的Statement对象执行sql, 效率比PreparedStatement低。
// 这种使用拼接的sql语句存在sql注入的风险
//String sql="select id,name, email,age from student where id=" + "or 1='1' ";
// $:可以替换表名或者列名, 你能确定数据是安全的。可以使用$