#{} 底层是使用 PreparedStatement 。
特点:先进行 SQL 语句的编译,然后给 SQL 语句的占位符(?)传值。
${} 底层是使用 Statement 。
特点:先进行 SQL 语句的拼接,然后再对SQL语句进行编译。
对比:#{} 可以防止 SQL 注入,而 ${} 有 SQL 注入的风险。所以尽可能使用#{}而少使用 ${}。
特殊情况:因为#{} 给站位符号传参数时会带上引号(‘’)而 ${} 是直接拼接所以没有引号。所以在参数是 SQL 语句的关键字的情况下必须使用 ${} 而不能使用 #{}。
-- 因为表名和 order by 语句后面跟的字段不能有引号,所以这些不能有引号的情况必须使用 ${}
1.当 SQL 中的表名需要从参数中获取的情况。
2.order by 语句排序中的字段。