#{}能防止sql注入,而KaTeX parse error: Expected 'EOF', got '#' at position 13: {}不能防止sql注入 #̲{}对变量自动加引号。{}对变量不会自动加引号
#{}:使用的是预编译,对应JBDC中的PreparedStatement
${}:mybatis不会修改或者转义字符换,直接输出变量值
SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击