{}是预编译处理，

${}是字符串替换。

mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值；
mybatis在处理 $ { } 时，就是把 ${ } 替换成变量的值，完成的是简单的字符串拼接。

补充：在mybatis中使用#{}可以防止sql注入，提高系统安全性。

sql注入是什么：
例如：用户输入的账号密码在代码中是以字符串拼接的方式生成查询语句的，这样用户输入的内容很容易改变我们的原查询代码，这就相当一一个数据库注入问题。
我们验证密码和账号的时候，如果用户在输入密码的时候输入 or 1=1；那不管他输入的密码是什么都可以通过。

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 for in 和 for of 的区别 <%#..%>与<%=..%>的区别 &a和a的区别 for in 和for of的区别 $*和$@ 的区别 / 和/* 和/**的区别 for of 与 for in的区别 &与&&、|与||的区别 for of与for in的区别 CentOS 7和8的区别