mybatis中的mapper.xml文件中#,$的区别

首先说明，mybatis默认情况下会将所有的sql进行预编译。

1.什么是预编译

sql预编译指的是数据库驱动在发送sql语句和参数给DBMS(Database Management System)之前，JDBC使用PreparedStatement对象来抽象预编译语句，使用预编译。预编译后产生的PreparedStatement对象会缓存下来，这样DBMS在执行语句相同而参数不同的sql时，可以直接使用PreparedStatement对象，不需要进行重新编译。

2. # 和 $ 的区别

mybatis在对sql语句进行预编译之前，会对sql进行动态解析，解析为一个BoundSql对象，对动态sql中的 # 和 $处理也在此处

#{ } ：解析为一个JDBC预编译语句的菜蔬标识符

select * from user where name = #{name}        解析为      select * from user where name =？

一个#{ } 解析为一个占位符 ？

${ } : 仅仅为一个纯粹的String替换，在动态sql解析阶段会进行变量替换

select * from user where name = ${name}        解析为      select * from user where name = "帅哥"  

可见使用${name}，预编译之前name已经不是变量了，而是一个常量"帅哥"  

ps：${ }变量替换在动态sql解析阶段    #{ }变量替换在DBMS中

3.能使用#{ }的地方就用#{ }

预编译的sql可以重复利用，性能比${ }好。

${}在预编译钱已经被变量替换，会造成sql注入问题

select * from ${tabelname} where name = #{name}

假设我们的参数tablename为“user;delete user;--”   那么在sql动态解析阶段，预编译之前的sql就变为了

select * from user;delete user;-- where name = ？

--之后的语句作为注释，不起作用。而前半部分的语句偷偷包含了一个删除表数据的sql！！！！

4.表名作为变量时，必须使用${ }

表名是一个字符串，使用#{}时占位符替换参数时会带上单引号‘’，这会导致sql错误

select * from #{tabelname} where name = #{name} 变为

select * from ‘user’ where name = '帅哥' 

sql语法表名加单引号是错误的，需要反引号