#{} ${} 解析

#{}是预编译处理，是占位符 ，加 ’ ’。 ${}是字符串替换，是拼接符，不加’ ’

#{}
Mybatis在处理#{}的时候会将sql中的#{}替换成占位符 ？号，调用PreparedStatement来赋值，在值的两端加上单引号，可以防止sql注入

select * from user where name = #{userName}；设userName=sss
看日志我们可以看到解析时将#{userName}替换成了 ？
select * from user where name = ?;
然后再把yuze放进去，外面加上单引号
select * from user where name ='sss'
1
2
3
4
5

$Mybatis在处理${}的时候就是把${}替换成变量的值，不加单引号。调用Statement来赋值

select * from user where name = #{userName}；设userName=yuze
看日志可以发现就是直接把值拼接上去了,不加引号
select * from user where name = yuze;
这极有可能发生sql注入
1
2
3
4

为什么#{}可以有效防止sql注入？
预编译机制，预编译是提前对SQL语句进行预编译 预编译完成之后，SQL的结构已经固定，即便用户输入非法参数，也不会对SQL的结构产生影响，从而避免了潜在的安全风险。

在某些特殊场合下只能用${}，不能用#{}。
例如：在使用排序时ORDER BY ${id}，如果使用#{id}，则会被解析成ORDER BY “id”,这显然是一种错误的写法。