#{}能够更安全的取出参数

${}取出的参数不安全

尽量不要使用${}取参数

原因:

A:select * from table where a = '10001' and b = ${parameter}

B:select * from table where a = '10001' and b = #{parameter}

若parameter的值为: 1 or b in (1,2,3,4,5,6,7,8,9)   

A的sql就解析为 select * from table where a = '10001' and b =  1 or b in (1,2,3,4,5,6,7,8,9)  // 因此后面就可以无限的or获取所需要的信息,这就是sql注入。

B的sql就解析为 select * from table where a = '10001' and b =  '1 or b in (1,2,3,4,5,6,7,8,9) ' // 这里'1 or b in (1,2,3,4,5,6,7,8,9) ' 就成为了一个字符串参数,而没有将or、in解析成为sql的运算符

总结:综上所述,使用#{}比使用${}更加的安全.