MyBatis中#{}和 ${}的区别是什么？

Mybatis 的Mapper.xml语句中parameterType向SQL语句传参有两种方式：#{}和${}

我们经常使用的是#{},是因为这种方式可以防止SQL注入，#{}这种方式SQL语句是经过预编译的，它把#{}中间的参数转义成字符串。

比如：select * from table where name = #{zhangSan}

预编译后,会动态解析成一个参数标记符?：select * from table where name = ?

而使用${}在动态解析时候，会传入参数字符串

select * from table where name = ${zhangSan}

动态解析时候，会传入参数字符串：select * from table where name = 'zhangSan'

总结：#传入的参数在SQL中显示为字符串，$传入的参数在SqL中直接显示为传入的值

区别：

1、#{}可以理解为预处理，而${}是直接替换

        #传入的参数在SQL中显示为字符串，会堆自动传入的数据加上双引号。
        $传入的参数在SQL中直接显示为传入的值

2、#{}适用于所有类型的参数匹配，但${}只适用于数值类型

        使用#{}传入的参数会以字符串的形式进行匹配，而${}传入的参数是直接替换，数值类型像id可以直接替换，但是如果是姓名、性别这种直接替换会出错。

3、#{}性能更高，并且没有SQL注入的安全性问题，但${}存在SQ注入的安全问题

4、大多数情况下还是经常使用#{}，一般能用#就不用$，但是有些特殊情况下必须使用$，例如：MyBatis中进行排序时，使用order by时要使用$而不是#。