常见面试题
分享
输入“/”快速插入内容
常见面试题
2024年7月22日修改
#{}和${}的区别
•
#{}
: 底层使用PreparedStatement。 特点:先进行SQL语句的编译,然后给SQL语句的占位符问号
?
传值。可以避免SQL注入的风险
•
${}
: 底层使用Statement。特点:先进行SQL语句的拼接,然后再对SQL语句进行编译。存在SQL注入的风险。
优先使用
#{}
,可以避免SQL注入的风险
使用
${}
的场景,当要直接进行字符串拼接的时候:比如
order by create_time ${aescOrDesc}
,此时会直接拼接,当使用
#{}
的时候,会拼接成
order by create_time "aesc"
会报错