MyBatis中井号与美元符号的区别

 

1. #{变量名}可以进行预编译、类型匹配等操作，#{变量名}会转化为jdbc的类型。

   select * from tablename where id = #{id}
   假设id的值为12，其中如果数据库字段id为字符型，那么#{id}表示的就是'12'，如果id为整型，那么id就是12，并且MyBatis会将上面SQL语句转化为jdbc的select * from tablename where id=?，把?参数设置为id的值。

2. ${变量名}不进行数据类型匹配，直接替换。

   select * from tablename where id = ${id}
   如果字段id为整型，sql语句就不会出错，但是如果字段id为字符型， 那么sql语句应该写成select * from table where id = '${id}'。

3. #方式能够很大程度防止sql注入。

4. $方式无法方式sql注入。

5. $方式一般用于传入数据库对象，例如传入表名。

6. 尽量多用#方式，少用$方式。