1:#{}在预编译时,会把参数用?代替,所有传入的数据都会被当成一个字符串。
2:${}则是简单的替换字符串,参数会被当成sql编译。
3:#{}可以防止sql注入,能用#{}就不用${}
4:${}一般用于传入表名和字段名,使用时需要手动防止sql注入。
1:#{}在预编译时,会把参数用?代替,所有传入的数据都会被当成一个字符串。
2:${}则是简单的替换字符串,参数会被当成sql编译。
3:#{}可以防止sql注入,能用#{}就不用${}
4:${}一般用于传入表名和字段名,使用时需要手动防止sql注入。