#{}是预编译处理,${}是字符串替换。
mybatis在处理 #{ } 时,会将sql中的 # { } 替换为?号,调用PreparedStatement的set方法来赋值。
mybatis在处理 $ { } 时,就是把 ${ } 替换成变量的值。
使用**#{ }**可以有效的防止SQL注入,提高系统安全性。原因在于:预编译机制。预编译完成之后,SQL的结构已经固定,即便用户输入非法参数,也不会对SQL的结构产生影响,从而避免了潜在的安全风险。
预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
$ 符号一般用来当作占位符
例如:$ 1,$ 2等等表示输入参数的占位符,知道了这点就能很容易区分$和#,从而不容易记错了。
