簡単に
#{}、プリコンパイルされ、それが安全です
$ {}これは、プリコンパイルされていない、変数の値のみを取る、非セキュア、そこSQLインジェクション。
あなたはマッパーファイルを使用している場合
ORDER BY位{COLUMNNAME}
SQL文は、例えば、より多くの引用符を支払うために最後の引数につながります
「UPDATE_TIME」による試験順序から*選択します。
これを使用するには
ORDER BY $ {} COLUMNNAME
あなた自身やエスケープをチェックする必要があるので、しかし、ノートでは、これは、潜在的なSQLインジェクション攻撃につながること