pzistart

摘要： MyBatis解决方案 使用 #{} 而不是 ${} #{} 在SQL语句预编译后，${} 会被替换为 ? ，然后在执行 SQL 语句的时候，将参数替换 ? ，即使参数中有如'or 1=1'等敏感输入，也只会被作为参数，而不会被作为 SQL指令 ${} 在SQL语句预编译的时候会将参数代替${}，就 阅读全文