$ 取完值以后直接拼接到sql语句后面去,相当于字符串的拼接,造成sql注入攻击,安全性问题
# 相当于preparedStatement, ???? 不会造成sql注入攻击,比较安全
List<PersonBean> getByCondition3(@Param("name") String name, @Param("add") String add);
<select id="getByCondition" resultMap="stu">
select *from student where sname=${name}
</select>
sql结果:
select *from student where sname=1 or 1=1
select *from student where sname='1 or 1=1'