mybaties自定义sql参数引用有两种#{}和${}。
${}将变量原样输出不能防止sql注入。
#{}采用PreparedStatement将sql进行了预编译可以防止sql注入。预编译的原理就是将传递进来的变量中的引号用反斜杠(\)转义。在变量外面加上了双引号。
表个字段名当作变量的时候是不能加双引号的,所有只能使用${}方式,这个时候就需要自己对参数做一些特殊处理,比如:长度限制,字符限制等。
原文:https://www.cnblogs.com/yjwfcs/p/12058275.html