mybatis中#{}和${}的区别

动态sql是mybatis的主要特性之一，我们的惯用做法是将mapper中收集来的参数传递到xml中，组装成动态的sql语句

去执行，mybatis支持两种参数替换的语法：${}和#{}，下面简单介绍下两者的区别

1、在解析时：

　　${}是一个简单的String替换

　　#{}会解析为一个prepared statement，对的，学习过原生jdbc的同学一定再熟悉不过这个叫法了：预处理语句

也就是类似select * from user where name = ?;  预处理的好处？写过视图的应该知道，视图就好比一条预处理的sql

执行的时候效率当然更高一些

2、防sql注入

　　${}既然是String原原本本的替换，那么如果我找漏洞，可否将传入的值后面加一个类似于可执行的sql语句？

比如传入id值，我可以这样传入："id=1;delete from user"，最后拼接起来的语句变为

"select * from user where id=1;delete from user"

user表被删了，当然这是个简单的例子，仅仅用来说明问题

　　#{}则不会出现这样的问题

因此在传入的值中包含表名的时候，必须使用#{}，其实在项目中${}早已被丢弃、、、