1.占位符#{},相当与jdbc中的?,可以很大程度地防止注入共计.
当参数传递的是java简单类型,花括号中内容可以是任意字符串
2.字符串拼接符{},$将传入的数据直接显示生成在sql中,当参数传入的是java简单类型的时候,花括号中内容只能是value
3.sql语句中使用字符串拼接符,可能会引起sql注入的问题.当时在mybatis框架中可以放心使用,原因是mybatis是dao层后端开发,数据在表现层,业务层service已经处理好.
1.占位符#{},相当与jdbc中的?,可以很大程度地防止注入共计.
当参数传递的是java简单类型,花括号中内容可以是任意字符串
2.字符串拼接符{},$将传入的数据直接显示生成在sql中,当参数传入的是java简单类型的时候,花括号中内容只能是value
3.sql语句中使用字符串拼接符,可能会引起sql注入的问题.当时在mybatis框架中可以放心使用,原因是mybatis是dao层后端开发,数据在表现层,业务层service已经处理好.