MyBatis常见面试题：#{}和${}的区别是什么？

  经常碰到这样的面试题目：#{}和${}的区别是什么？

  正确的答案是：#{}是预编译处理，${}是字符串替换。

  备注：${}是插值，插值的新认识见：http://www.mybatis.cn/archives/653.html

  （1）mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值。

  （2）mybatis在处理${}时，就是把${}替换成变量的值。

  （3）使用#{}可以有效的防止SQL注入，提高系统安全性。原因在于：预编译机制。预编译完成之后，SQL的结构已经固定，即便用户输入非法参数，也不会对SQL的结构产生影响，从而避免了潜在的安全风险。

  （4）预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

  补充1：$符号一般用来当作占位符，常使用Linux脚本的人应该对此有更深的体会吧。例如：$1，$2等等表示输入参数的占位符，知道了这点就能很容易区分$和#，从而不容易记错了。

  补充2：有网友提问：既然$会引起sql注入，为什么有了#{}还需要有${}呢？那其存在的意义是什么？

  可以这么去理解：#{}主要用于预编译，而预编译的场景其实非常受限，而${}用于替换，很多场景会出现替换，而这种场景可不是预编译，例如：MyBatis XML配置对抗MyBatis注解的一大杀器：SQL片段，抽取可重用的SQL语句。

Reference

• http://www.mybatis.cn/archives/70.html