在mybatis中的编写xml文件时 我们经常遇到参数的传入 总结一下${}和#{}的区别:
1.#{} 有效的防止sql注入
#{} 直接传入的是你参数值 不会加上""
2.${} order by 排序是 必须使用${} 例如: order by ${id}
${}不可以防止sql注入 没有预编译sql语句
${}会自动加上""
总结: 出于安全考虑 最好使用#{}
本文转自 zddnd 51CTO博客,原文链接:http://blog.51cto.com/13013666/1943041
