在mybatis中写sql语句时,$不能够防止sql注入问题,而#能防止sql注入。
原因:在用#写的sql语句中,会差生预编译的效果,传入进去的值则只会当做所对应的字段的值被填充到sql语句中(参数中如果传入sql语句中的关键字,也会把关键字转化为字段值,从而使传入进入的关键字产生实效的效果),然而用$编写的sql语句没有进行预编译的过程,从而在sql语句执行的时候就只会把出入进入的值当做简单的字符串的拼接(参数中如果传入sql语句中的关键字,也能被正常执行)。
总结:如果在写条件插入时需要用到sql原生的关键字,那么就用$,但会产生sql注入问题。