<!--插入操作-->
<insert id="save" parameterType="com.itheima.domain.User">/*parameterType:参数*/
<!--#{}:底层使用PreparedStatement,其中的值和类型有关常用于代表列值,能自动加引号可防止sql注入,安全-->
<!--${}:底层是Statement,不区分数据类型,常用于表示表明和列名(前提保证不存在注入风险,不安全)-->
insert into user values(#{id},#{username},#{password});
</insert>
⇒
<!--插入操作-->
<insert id="save" parameterType="com.itheima.domain.User">/*parameterType:参数*/
insert into user values(#{id},#{username},#{password});
</insert>
解决