1、安全性
这个我相信是广为人知的一个安全问题了,用${}的方式会有注入SQL的风险,所以一般会使用#{}。
2、踩坑
这次我遇到一个这样的需求,统计比较复杂的数据的时候,它有一部分条件,是需要在后端进行一个注入,我使用的是#{},这个时候我得到的数据和数据查询的数据是不一致的。
为什么呢?是因为它最后进行拼接sql的时候,会默认加双引号,变成一个字段,而使用美元符它直接进行一个拼接操作,并不会加双引号的,这也就是为什么最后一样的SQL,传入的参数也是正常的,而得到的数据不一致的原因。
相关文章: