1.第一种方式
like?预编译的方式,防止SQL注入问题
select * from user where username like ?
或者
select * from user where username like #{username}
2.第二种方式
sql语句拼接的方式,不能防止SQL注入问题
如黑客可以使用or,and等拼接上然后就改变了原来的意思
select * from user where username like '%测%'
3.#{}和${}写法的区别
1.方法的参数传染引用类型,例如User对象
#{username} ${username}
2.方法的参数是普通 数据类(int String Double)
#{名称是参数可以任意写}
${必须写成value}