#{}
拿到值之后,拼装sql,会自动对值添加单引号” ${}
则把拿到的值直接拼装进sql,如果需要加单引号”,必须手动添加,一般用于动态传入表名或字段名使用,同时需要添加属性statementType=”STATEMENT”,使用非预编译模式。
查询表明动态变换时可以使用${}方式传入表名
查询排序order by XXX时使用${}方式
凡是不需要单引号的参数传参 都要使用${}方式
使用#可以很大程度上防止sql注入
#{param} :以预编译的形式,将参数设置到sql语句中,PreparedStatement,防止sql注入;
${param} :取出值直接拼装在sql中,有sql注入安全隐患;
参考:https://blog.csdn.net/vtopqx/article/details/80430975
注:statementType:STATEMENT(非预编译),PREPARED(预编译)或CALLABLE中的任意一个,这就告诉 MyBatis 分别使用Statement,PreparedStatement或者CallableStatement。默认:PREPARED。