mysql中#{}和${}的区别详解

#{}会将传入的数据当成一个字符串，会对自动传入的数据加一个双引号

order by #{userId}   
这里假如userId = 111，那么解析成sql时会变成 order by "111"
这里如果userId = idStr，那么解析成sql时会变成 order by "idStr"

${}会将传入的数据直接显示生成在sql中

order by #{userId}  
这里假如userId = 111，那么解析成sql时会变成 order by 111
这里如果userId = idStr，那么解析成sql时会变成 order by idStr

#方式能够很大程度防止sql注入；$方式无法防止Sql注入。

$方式一般用于传入数据库对象，例如传入表名。

一般能用#的就别用$。MyBatis排序时使用order by 动态参数时需要注意，用$而不是#。

默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：

ORDER BY ${columnName}; 这里MyBatis不会修改或转义字符串。

例子：

在没有做防Sql注入的时候，我们的Sql语句可能是这么写的：

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> SELECT id,name,age FROM student WHERE name = '${value}' </select>

但如果我们对传入的姓名参数做一些更改，比如改成anything&rsquo; OR &lsquo;x&rsquo;='x，那么拼接而成的Sql就变成了

SELECT id,name,age FROM student WHERE name = 'anything' OR 'x'='x'

库里面所有的学生信息都被拉了出来，是不是很可怕。原因就是传入的anything&rsquo; OR &lsquo;x&rsquo;='x和原有的单引号，正好组成了 &lsquo;anything&rsquo; OR &lsquo;x&rsquo;='x&rsquo;，而OR后面恒等于1，所以等于对这个库执行了查所有的操作。

防范Sql注入的话，就是要把整个anything&rsquo; OR &lsquo;x&rsquo;='x中的单引号作为参数的一部分，而不是和Sql中的单引号进行拼接

使用了#即可在Mybatis中对参数进行转义

<select id="fetchStudentByName" parameterType="String" resultType="entity.StudentEntity"> SELECT id,name,age FROM student WHERE name = #{name} </select>

我们看一下发送到数据库端的Sql语句长什么样子。

SELECT id,name,age FROM student WHERE name = 'anything\' OR \'x\'=\'x'

来源：https://blog.csdn.net/weixin_43296313/article/details/122880292