区分
#{parameterName}援用参数的时候,Mybatis会把这个参数以为是一个字符串,并主动加上""
sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 履行 sql 时,就不须要重新编译。
Select * from emp where name = #{employeeName}
Select * from emp where name = "Smith";
Select * from emp where name = ${employeeName}
Select * from emp where name = Smith;
#{}是经过预编译的,是安全的。
${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。#{parameterName}援用参数的时候,Mybatis会把这个参数以为是一个字符串,
