简单理解参数引用 ${}和 #{}

参数的引用有两种常见的方式：${} 和 #{}，但是${}存在SQL注入的安全问题。

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

在 MyBatis中，#{}是预编译处理，${}是字符串替换。
MyBatis在处理#{}时，会将 sql 中的 #{}替换为？号，调用PreparedStatement的 set方法来赋值；
MyBatis在处理${}时，是把${}替换成变量的值。

来看一个例子：

在mybatis中，如果使用 ${} 来进行参数引用：

<select id="selectUserInfo" parameterType = "java.util.Map" resultMap ="BaseResultMap">
 select count(1) from student
 where username = ${username} and password = ${password}
</select>

首先我们要知道：

$将传入的数据直接显示生成在sql中。

如果接收到参数为username= Foo，password = 123456，那么将解析成 sql 时的值为：

 select count(1) from student
 where username = Foo and password = 123456

那如果接收到的参数为username= Foo --，password = ，那么将解析成 sql 时的值为

select count(1) from student where username = Foo-- and password = 123456

我们可以看到，-- 在SQL中起到了注释作用，将后面的password注释掉了，故只要数据库中存在username=Foo的用户，即可以实现免密登录。

如果传入的值是 username= ; drop table student，则后果可想而知：

select count(1) from student where username=;drop table student;

那么，#{} 是如何防止SQL注入的呢？

同样的例子：

如果接收到参数为username= Foo，password = 123456，那么将解析成 sql 时的值为：

select count(1) from student
where username = "Foo" and password = "123456"

即对于#{}引用参数，不管传进来的是什么，#将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号，这样就能够在很大程度防止SQL注入，提高系统安全性。

所以一般我们使用mybatis来引入参数时，能用#的就别用，若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。

参考：SQL注入详解