MyBatis中的#符号与$符号的使用

根据MyBatis官方文档的解释：

默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并安全地设置值（比如?）。这样做更安全，更迅速，通常也是首选做法，不过有时你只是想直接在 SQL 语句中插入一个不改变的字符串。比如，像 ORDER BY，你可以这样来使用：

ORDER BY ${columnName}

这里 MyBatis 不会修改或转义字符串。

以这种方式接受从用户输出的内容并提供给语句中不变的字符串是不安全的，会导致潜在的 SQL 注入攻击，因此要么不允许用户输入这些字段，要么自行转义并检验。

我们可以这样理解：

使用#{参数}格式的语法在myBatis中是使用预处理语句Preparement语句来进行设置值的，类似于：

PreparedStatement ps = conn. prepareStatement(sql);
ps.setInt(1,id);
Ps.setString(2,userName);

这样做的好处是：更安全，更迅速，通常也是首选做法。

如果想直接在SQL语句中插入一个不改变的字符串。例如：像Order By，可以采用这样的方式：

Order By ${columnName}

这种方式，MyBatis不会修改或者转义字符串。

相当于：

Statement stmt=conn.createStatement();
ResultSet rs=stmt.executeQuery(sql);

相比而言：

• #{}，更加安全，能够防范SQL注入；
• ${}，无法防范SQL注入，一般用于传入不需要转义的参数。
• MyBatis排序时使用Order By动态参数时需要注意，使用$而不是#。