1. 概念
#{}和${}都可以传输数据,两者的差异是编译的时期不一样
#{}是一次编译,后续每次调用只是传递一个参数进去
${}是每次都会编译,传递进去的数据会当做sql语句一起编译
2. sql语句的编译
sql语句编译有两种形式,即statement和PrepareStatement两种
2.1 Statement
statement每次执行语句都要重新编译一次,然后在DBMS中执行
举例
//statement下每次执行就会将id值带入sql语句一起编译再执行
int id=1
select * from user where id="id"
2.2 prepareStatement
prepareStatement是预先将sql语句编译好,然后留下几个占位符用来传递数据
举例
//下面的语句只编译一次,后续每次传递参数都只在DBMS中执行查询而已
select * from user where id=?
//调用prepareStatement对象传递参数进去,第一个占位符位置输入1
ps.set(1,1)
3. 总结
如果是传递简单类型参数,两者并无明显差异,但是${}不能防止sql注入