预编译中处理的不一样:
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”
${}将传入的数据直接显示生成在sql中,如order by userid,如果传入的值是1,那么解析成sql时的值为order by 1,如果传入的值是id,则解析成的sql为order by id
总结:
#方式底层采用预编译方式PreparedStatement(预编译),能够很大程度防止sql注入;$方式底层只是Statement,无法防止Sql注入
$方式一般用于传入数据库对象,例如传入表名.
一般能用#的就别用$
注意点:
MyBatis排序时使用order by 动态参数时需要注意,用**$**而不是#