作者:浅小念豆科k | 来源:互联网 | 2023-07-05 10:54
转载于http:blog.sina.com.cnsblog_667ac0360102vl85.html好文链接#{xxx},使用的是PreparedStatemen
转载于http://blog.sina.com.cn/s/blog_667ac0360102vl85.html
好文链接
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏动,正确写法如下:
Mysql: select * from t_user where name like concat('%', #{name}, '%')
Oracle: select * from t_user where name like '%' || #{name} || '%'
SQLServer: select * from t_user where name like '%' + #{name} + '%'