mybatis中#{}和${}的區別

1. #將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，若是傳入的值是111,那麼解析成sql時的值爲order by "111", 若是傳入的值是id，則解析成的sql爲order by "id".
　　
2. $將傳入的數據直接顯示生成在sql中。如：order by $user_id$，若是傳入的值是111,那麼解析成sql時的值爲order by user_id,  若是傳入的值是id，則解析成的sql爲order by id.
　　
3. #方式可以很大程度防止sql注入。
　　
4.$方式沒法防止Sql注入。

5.$方式通常用於傳入數據庫對象，例如傳入表名.
　　
6.通常能用#的就別用$.

MyBatis排序時使用order by 動態參數時須要注意，用$而不是#

字符串替換
默認狀況下，使用#{}格式的語法會致使MyBatis建立預處理語句屬性並以它爲背景設置安全的值（好比?）。這樣作很安全，很迅速也是首選作法，有時你只是想直接在SQL語句中插入一個不改變的字符串。好比，像ORDER BY，你能夠這樣來使用：
ORDER BY ${columnName}
這裏MyBatis不會修改或轉義字符串。

重要：接受從用戶輸出的內容並提供給語句中不變的字符串，這樣作是不安全的。這會致使潛在的SQL注入攻擊，所以你不該該容許用戶輸入這些字段，或者一般自行轉義並檢查。

 

mybatis自己的說明：

String Substitution

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject a string unmodified into the SQL Statement. For example, for ORDER BY, you might use something like this:

ORDER BY ${columnName}
Here MyBatis won't modify or escape the string.

NOTE It's not safe to accept input from a user and supply it to a statement unmodified in this way. This leads to potential SQL Injection attacks and therefore you should either disallow user input in these fields, or always perform your own escapes and checks.

從上文能夠看出：

1. 使用#{}格式的語法在mybatis中使用Preparement語句來安全的設置值，執行sql相似下面的：

PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1,id);

這樣作的好處是：更安全，更迅速，一般也是首選作法。

2. 不過有時你只是想直接在 SQL 語句中插入一個不改變的字符串。好比，像 ORDER BY，你能夠這樣來使用：

ORDER BY ${columnName}

此時MyBatis 不會修改或轉義字符串。

這種方式相似於：

    Statement st = conn.createStatement();
       
      ResultSet rs = st.executeQuery(sql);

這種方式的缺點是： 以這種方式接受從用戶輸出的內容並提供給語句中不變的字符串是不安全的，會致使潛在的 SQL 注入攻擊，所以要麼不容許用戶輸入這些字段，要麼自行轉義並檢驗。