【数据库框架】mybatis使用order by 动态参数及#{}和${}的区别
简单说
#{}是经过预编译的,是安全的
${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.
在mapper文件中如果使用
ORDER BY #{columnName}
会导致最后sql语句 参数 多加 引号,例如
select * from test order by 'update_time';
要这样使用
ORDER BY ${columnName}
但是注意这会导致潜在的SQL注入攻击,因此你需要自行转义并检查
海底一小鱼 https://www.cnblogs.com/Y-S-X/