之前没注意,最近公司测试提了个bug,
问题:输入框中输入单引号会报错,
原因:单引号截断了sql
总结:#{}速度快,能防止sql注入,是占位符方式,先预编译,然后填充参数,字符串格式,相当于填空题 用户名=(___),参数只是下划线上的内容
${}是直接拼接到语句上,执行语句,对于上面那道填空题 ,这种方式需要自己拼括号和参数,但是也可以拼接想执行的任何语句,也就是传说中的sql注入
这也是jdbc尽量使用PreparedStatement而不是statement的原因,总之:能用的#就不用$