Mybatis中 ${} 和 #{} 的用法与区别

#{}：将传入的数据都当成一个字符串，会对传入的变量自动加一个单引号。如：user_id = #{userId}，如果传入的值是111，那么解析成sql时的值为user_id = '111'，如果传入的值是id，则解析成的sql为user_id = 'id'。

${}：将传入的参数直接显示生成在sql中，且不加任何引号。如：user_id = ${userId}，如果传入的值是111，那么解析成sql时的值为user_id = 111 ， 如果传入的值是id，则解析成的sql为user_id = id。

#{} 可以防止SQL注入的风险（语句的拼接）；但${}无法防止Sql注入。

大多数情况下还是经常使用#{}，一般能用#的就别用 ${} ；

但有些情况下必须使用 ${}, 比如：MyBatis排序时使用order by 动态参数时需要注意，用 $ 而不是#。