mybatis #和$

     PrepareStatement：预编译支持参数化以及占位符，防止sql注入

     Statement:有sql注入风险 

正文

       #{} 的参数替换是发生在 DBMS 中，而 ${} 则发生在动态解析过程中。

例如：select * from order where id=#{orderId}和select * from order where id='${orderId}'.

#:静态解析-- select * from order where id=?.已占位符的形式。在预处理时，会把参数部分用一个占位符 。

 $:动态解析的，  select * from order where id=123456. 后果：比如参数 orderId='123456' or '1=1'.就可以把所有的订单数据都拿出来。

区别：

#方式能够很大程度防止sql注入。
$方式无法防止Sql注入。
$方式一般用于传入数据库对象，例如传入表名、字段名（order by xxx）
一般能用#的就别用$.

为什么需要预编译

JDBC 中使用对象 PreparedStatement 来抽象预编译语句，使用预编译

1. 预编译阶段可以优化 sql 的执行。
   预编译之后的 sql 多数情况下可以直接执行，DBMS 不需要再次编译，越复杂的sql，编译的复杂度将越大，预编译阶段可以合并多次操作为一个操作。

2. 预编译语句对象可以重复利用。
   把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来，下次对于同一个sql，可以直接使用这个缓存的 PreparedState 对象。

mybatis 默认情况下，将对所有的 sql 进行预编译。