1.#{}是预编译处理,在执行过程中会先将#{}用?代替,然后执行statement会用set方法进行赋值
2.${}是字符串直接替换 会造成sql注入问题
比如 select * from user where username=${zs or 1=1}
那这个sql恒成立,总能查到数据
1.#{}是预编译处理,在执行过程中会先将#{}用?代替,然后执行statement会用set方法进行赋值
2.${}是字符串直接替换 会造成sql注入问题
比如 select * from user where username=${zs or 1=1}
那这个sql恒成立,总能查到数据