Mybatis中的#{}用于傳遞查詢的參數(shù)，用于從dao層傳遞一個(gè)string參數(shù)過來（也可以是其他參數(shù)），select * from 表名 order by age=#{age}

Mybatis會把這個(gè)參數(shù)轉(zhuǎn)換成一個(gè)字符串。select * from 表名 order by age=“age” 相當(dāng)于jdbc中的預(yù)編譯，安全。

而${}一般用于order by的后面，Mybatis不會對這個(gè)參數(shù)進(jìn)行任何的處理，直接生成了sql語句。例：傳入一個(gè)年齡age的參數(shù)，select * from 表名 order by ${age}

Mybatis生成的語句為 select * from 表名 order by age Mybatis不會對$傳遞的參數(shù)做任何處理，相當(dāng)于jdbc中的另外一種編譯方式。

mybatis中#和$的區(qū)別舉例說明

1 select * from user where name = “dato”;

2 select * from user where name = #{name};

3select * from user where name = ${name};

一般情況下，我們都不會注意到這里面有什么不一樣的地方。因?yàn)檫@些sql都可以達(dá)到我們的目的，去查詢名字叫dato的用戶。

區(qū)別

動態(tài) SQL 是 mybatis 的強(qiáng)大特性之一，也是它優(yōu)于其他 ORM 框架的一個(gè)重要原因。mybatis 在對 sql 語句進(jìn)行預(yù)編譯之前，會對 sql 進(jìn)行動態(tài)解析，解析為一個(gè) BoundSql 對象，也是在此處對動態(tài) SQL 進(jìn)行處理的。在動態(tài) SQL 解析階段， #{ } 和 ${ } 會有不同的表現(xiàn)

select * from user where name = #{name};

#{} 在動態(tài)解析的時(shí)候， 會解析成一個(gè)參數(shù)標(biāo)記符。就是解析之后的語句是：

select * from user where name = ？;

那么我們使用 ${}的時(shí)候

select * from user where name = ${name};

${}在動態(tài)解析的時(shí)候，會將我們傳入的參數(shù)當(dāng)做String字符串填充到我們的語句中，就會變成下面的語句

select * from user where name = “dato”;

預(yù)編譯之前的 SQL 語句已經(jīng)不包含變量了，完全已經(jīng)是常量數(shù)據(jù)了。相當(dāng)于我們普通沒有變量的sql了。

綜上所得， ${ } 變量的替換階段是在動態(tài) SQL 解析階段，而 #{ }變量的替換是在 DBMS 中。

這是 #{} 和 ${} 我們能看到的主要的區(qū)別，除此之外，還有以下區(qū)別：

#方式能夠很大程度防止sql注入。

$方式無法防止Sql注入。

$方式一般用于傳入數(shù)據(jù)庫對象，例如傳入表名。

一般能用#的就別用$.

所以我們在使用mybatis的時(shí)候，盡量的使用#方式，這是大家要注意的地方

對于mybatis中#和$綁定參數(shù)的區(qū)別總結(jié)?

＃{}將傳入的數(shù)據(jù)都當(dāng)成一個(gè)字符串，會對自動傳入的數(shù)據(jù)加一個(gè)雙引號。如：order by #{id}，如果傳入的值是111，那么解析成sql時(shí)的值為order by “111”， 如果傳入的值是id，則解析成的sql為order by “id”。

${}將傳入的數(shù)據(jù)直接顯示生成在sql中。如：order by

${id}，如果傳入的值是111，那么解析成sql時(shí)的值為order by 111， 如果傳入的值是id，則解析成的sql為order

by id。

ps：在使用mybatis中還遇到<！［CDATA［］］>的用法，在該符號內(nèi)的語句，將不會被當(dāng)成字符串來處理，而是直接當(dāng)成sql語句，比如要執(zhí)行一個(gè)存儲過程。