#{}是預編譯處理,${}是字符串替換。
(1)mybatis在處理#{}時,會將sql中的#{}替換為?號,調用PreparedStatement的set方法來賦值。
(2)mybatis在處理${}時,就是把${}替換成變量的值。
(3)使用#{}可以有效的防止SQL注入,提高系統安全性。原因在於:預編譯機制。預編譯完成之后,SQL的結構已經固定,即便用戶輸入非法參數,也不會對SQL的結構產生影響,從而避免了潛在的安全風險。
(4)預編譯是提前對SQL語句進行預編譯,而其后注入的參數將不會再進行SQL編譯。我們知道,SQL注入是發生在編譯的過程中,因為惡意注入了某些特殊字符,最后被編譯成了惡意的執行操作。而預編譯機制則可以很好的防止SQL注入。
$符號一般用來當作占位符,常使用Linux腳本的人應該對此有更深的體會吧。例如:$1,$2等等表示輸入參數的占位符。知道了這點就能很容易區分$和#,從而不容易記錯了。