#{}:是以预编译的形式,将参数设置到sql语句中;PreparedStatement;防止sql注入
${}:取出的值直接拼装在sql语句中;会有安全问题;
大多情况下,我们去参数的值都应该去使用#{};
原生jdbc不支持占位符(表明和order by后面的列明都只能用${}取值)的地方我们就可以使用${}进行取值
比如分表、排序。。。;按照年份分表拆分(及只有传入的是sql语句的参数值时才可以用#{}方式,其他情况取值都只能用${}方式)
select * from ${year}_salary where xxx;(表明只能用${}取值)
select * from tbl_employee order by ${f_name} ${order} (order by后面的只能用${}取值)
关于Statement 和 PreparedStatement之间的关系和区别可以参考下面这篇文章
版权声明:本文不是「本站」原创文章,版权归原作者所有 | 原文地址: