占位符

在mybatis中占位符有两个,分别是#{}占位符 和${}。
#：占位符，告诉 mybatis 使用实际的参数值代替。并使用 PrepareStatement 对象执行 sql 语句, #{}：相当于JDBC中的问号（?）占位符，是为SQL语句中的参数值进行占位，大部分情况下都是使用#{}占位符；并且当#{}占位符是为字符串或者日期类型的值进行占位时，在参数值传过来替换占位符的同时，会进行转义处理（在字符串或日期类型的值的两边加上单引号）。这样做更安全，更迅速，通常也是首选做法。
mapper 文件

<select id="selectById" resultType="com.bjpowernode.domain.Student"> 
select id,name,email,age from student where id=#{studentId} 
</select> 

转为 MyBatis 的执行是：

String sql=” select id,name,email,age from student where id=?”; 
PreparedStatement ps = conn.prepareStatement(sql); 
ps.setInt(1,1005); 

解释：
where id=? 就是 where id=#{studentId}
ps.setInt(1,1005) , 1005 会替换掉 #{studentId}

$ 字符串替换，告诉 mybatis 使用$包含的“字符串”替换所在位置。使用Statement把sql语句和${}的 内容连接起来。主要用在替换表名，列名，不同列排序等操作。你能确定数据是安全的。可以使用$。
例 ： 分别使用 id ， email 列查询 Student
接口方法：

Student findById(int id); 
Student findByEmail(String email); 

mapper 文件：

<select id="findById" resultType="com.bjpowernode.domain.Student"> 
select * from student where id=#{studentId} 
</select> 
<select id="findByEmail" resultType="com.bjpowernode.domain.Student"> 
select * from student where email=#{stuentEmail} 
</select> 

测试方法：

@Test 
public void testFindStuent(){ 
Student student1 = studentDao.findById(1002); 
System.out.println("findById:"+student1); 
Student student2 = studentDao.findByEmail("zhou@126.net"); 
System.out.println("findByEmail:"+student2); 
}

总结：

# 和 $区别
	  1. #使用 ？在sql语句中做站位的， 使用PreparedStatement执行sql，效率高
	  2. #能够避免sql注入，更安全。
	  3. $不使用占位符，是字符串连接方式，使用Statement对象执行sql，效率低
	  4. $有sql注入的风险，缺乏安全性。
	  5. $:可以替换表名或者列名