摘要： 通常的三层架构的代码中，为了方便，大家往往会把WHERE条件的字符串放到业务逻辑层去拼接。这样会带来以下几个问题：1、没有参数化，只用字符拼接的WHERE条件，非常不安全，容易被SQL注入。2、在写程序时，随意性太大，程序不够严谨。比如一开始是查询一个表，条件中没加表名。后来由于业务需要，要对多个表关连，改了数据持久层，结果运行肯定出错。3、在多表关连查询时，条件又非常复杂时，拼接的WHERE条件... 阅读全文