mybatis中 #{} 和 ${} 的区别

mybatis 为提供了两种支持动态 sql 的语法：

（1）#{ }

　　解析为一个 JDBC 预编译语句（prepared statement）的参数标记符

（2）${ }

　　在动态 SQL 解析阶段将会进行变量替换

#{} 的参数替换是发生在 DBMS 中，而 ${} 则发生在动态解析过程中

区别：

　　#{}将传入的参数当成一个字符串，会给传入的参数加一个双引号

　　${}将传入的参数直接显示生成在sql中，不会添加引号

　　#{}能够很大程度上防止sql注入，${}无法防止sql注入

说明：

　　${}一般用于替换数据库的表名、字段名等

　　能用#{}的地方尽量别用${}

eg：

动态调用表名和字段名

<select id="getLists"  statementType="STATEMENT">
    select 
        ${columns}
    from ${tableName}
        where name= #{name}
</select>

说明：

　　不使用预编译，需添加statementType="STATEMENT"

　　STATEMENT（非预编译），PREPARED（预编译），默认为PREPARED