01.$ 不安全 底层实现是Statement对象
select * from student where id=${id}
如果我们id传入的是11 编译之后
select * from student where id=11
# 安全 底层实现是PreparedStatement对象
select * from student where id=#{id}
如果我们id传入的是11 编译之后
select * from student where id=?
MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;
执行时,如果传入参数为#{}格式的,将传入参数替换编译好的sql中的占位符“?”;
如果传入参数格式为${},则直接使用编译好的SQL就可以了。
因为SQL注入只能对编译过程起作用,所以使用#{}传入参数的方式可以很好地避免了SQL注入的问题。
02.在sql语句需要排序的时候
order by ${id}
只有在需要排序的时候 使用$
其他时候能用#绝对不用$