什么时候用${}??

如下情况：

<!--删除表单数据表的字段-->
<update id="dropColumn" parameterType="java.util.Map">
   alter table ${tableName} drop column ${columnName}
</update>
<!--增加表单数据表的字段-->
<update id="addColumn" parameterType="java.util.Map">
   alter table ${tableName} add column ${columnName} ${columnType}
</update>

<!--统计报表查询sql-->
<select id="selectReportStatData" parameterType="java.util.Map" resultType="java.util.Map" statementType="STATEMENT">
   select ${selectColumns} from ${tableName}
   <if test="where != null and where != ''"> ${where} </if>
    group by ${groupBy}
   <if test="orderBy != null and orderBy != ''">${orderBy} </if>

</select>

为什么？

因为上面这些sql都是非预编译语句！表名以及要更改或者查询的字段名都是动态生成，这样的sql语句是不可能预编译的！所以要用${},那意味着这样的语句是不安全的，有sql注入的隐患！

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。