使用#{}的位置会被替换成"?",然后通过PrepareStatement对象的setXXX方法设置值,而${}只是进行简单的拼接,被直接替换为参数值,有sql注入的问题,所以一般用#{},无法满足需求的时候,再用${}
如:Mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{}
使用#{}的位置会被替换成"?",然后通过PrepareStatement对象的setXXX方法设置值,而${}只是进行简单的拼接,被直接替换为参数值,有sql注入的问题,所以一般用#{},无法满足需求的时候,再用${}
如:Mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{}