原始语句
select * from user where name = #{name};
select * from user where name = ${name};
预编译阶段
#{} 和 ${} 在预编译中的处理是不一样的。#{} 在预处理时,会把参数部分用一个占位符 ? 代替,变成如下的 sql 语句:
select * from user where name = ?;
而 ${} 则只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成:
select * from user where name = 'zhangsan';
防止sql注入的问题
优先使用 #{}。因为 ${} 会导致 sql 注入的问题