${}和#{}两种方式操作数据库的区别 - 安全性比较

${}方式是通过字符串拼接的方式将参数值直接替换到SQL语句中，例如：SELECT * FROM table WHERE id = ${id}，这种方式存在SQL注入的风险，因为参数值没有经过任何处理就直接拼接到SQL语句中。\n\n#{}方式是使用预编译的方式将参数值传递给SQL语句，例如：SELECT * FROM table WHERE id = #{id}，这种方式会将参数值转义后再拼接到SQL语句中，可以有效防止SQL注入的风险。\n\n所以，推荐使用#{}方式操作数据库，以确保数据的安全性。