1.  预编译语句：如，select * from user where username = ？，sql 语句语义不会发生改
变，sql 语句中变量用？表示，即使传递参数时为“admin or ‘a’= ‘a’”，也会把这整体当
做一个字符创去查询。
2.  Mybatis 框架中的 mapper 方式中的 # 也能很大程度的防止 sql 注入（$无法防止 sql 注
入）

我来占层楼啊