sql拼接

同学你好，1、同学的说法是正确的，#{}这种预编译的形式可以很大程度上避免注入风险。

        2、但是拼接注入不止有#{}这样的形式，还有${}这样的形式注入，会造成注入风险。

            所以建议同学按照课程中的写法，在selectByAccount中传入用户名，查询数据库中的对应数据，然后与传入的用户名密码进行对比。

如果我的回答解决了你的疑惑，请采纳。祝：学习愉快~

同学你好，这里老师说的拼接就是，传入两个参数，一个username(用户名)，一个password(密码)，然后在sql语句中以传入参数拼接的形式的来书写这段sql语句，比如：

这只是一个小的例子，同学参考着来理解。

这样以拼接的形式传入两个参数来对比查询，老师是这样的意思。

如果我的回答解决了你的疑惑，请采纳。祝：学习愉快~