mybatis中 #{}和${}的区别

简明的解释:

#{}是预编译处理，$ {}是字符串替换（当做占位符来用）。

mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的
set方法来赋值；

mybatis在处理 $ {} 时，就是把 ${} 替换成变量的值。

使用 #{} 可以有效的防止SQL注入，提高系统安全性。

在某些特殊场合下只能用${}，不能用#{}。例如：在使用排序时ORDER BY ${id}，
如果使用#{id}，则会被解析成ORDER BY “id”,这显然是一种错误的写法。

**到此结束即可**

解决SQL注入的办法就是预编译处理

使用 #{} 进行预编译处理，可以有效的防止SQL注入，提高系统安全性。

    预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将
    不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为注入
    sql语句常用的字符如:单引号(')和井号(#)进行恶意地闭合和注释，改变了
    我们的原有句子，最后被编译执行了恶意操作。而预编译机制则可以很好的
    防止SQL注入。

关于sql注释的简单解释

假设下方语句是我们自己写的做登录用户的java后台部分语句，
我们想的是只有账号密码正确才可以登录

String sql ="select * from table where id = '"+ admin +
"'and password ='"+password+"'"; //拼接参数
ResultSet rs = (ResultSet) stmt.executeQuery(sql);//执行sql语句
但如果提交表单的数据是 admin的是 ' or 1 = 1 #   然后password 
随便填吧 比如 james

那么sql句子变成:

select
   * 
from 
  table 
where    id = ' ' or 1 = 1 # 'and password =' james ';

注意这时句子中的 # 井号会把后面的 ’ and password =’ hj '; 注释掉而无法判断，因为 or 1 = 1 这一句会告诉数据库是正确的，然后我萌就能基于这个原理实现偷偷给自己的数据库搞事情了。

！仅供学习
现在的大型网站就别想了，学校的官网不知道有没有预处理和防范。（我什么也没说，什么也没说）
再次声明：仅供学习！！！！