Mybatis_#{param}和${param}的区别

                    
                    #{param} 生成的sql中将该参数使用?占位符替换，预编译后传入实际参数，使用PreparedStatement发送sql
${param}生成sql中将该参数的值直接替换到该位置的，如果是字符串一定要添加’’
使用${param}时，即使statementType使用PREPARED，也可能出现SQL注入
建议使用statementType="PREPARED"和#{param}组合防止SQL注入

来源：CSDN

作者：Chill_Lyn_

链接：https://blog.csdn.net/Chill_Lyn/article/details/103749110

标签

sql注入

param

MyBatis

易学教程内所有资源均来自网络或用户发布的内容，如有违反法律规定的内容欢迎反馈！
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!