mybatis 做为一个轻量级 ORM 框架在许多项目中使用，因其简单的入门受到了广大开发者的热爱。在近期项目中再做一个相关的开发，碰到了 #、$ 符号这样的问题，之前没怎么注意过，通过学习之后，有了点感悟，分享如下，

#{} 

使用 #{} 意味着使用的预编译的语句，即在使用 jdbc 时的 preparedStatement，sql 语句中如果存在参数则会使用? 作占位符，我们知道这种方式可以防止 sql 注入，并且在使用 #{} 时形成的 sql 语句，已经带有引号，例，select  * from table1 where id=#{id}  在调用这个语句时我们可以通过后台看到打印出的 sql 为：select * from table1 where id='2' 加入传的值为 2. 也就是说在组成 sql 语句的时候把参数默认为字符串。

${}

使用 ${} 时的 sql 不会当做字符串处理，是什么就是什么，如上边的语句：select * from table1 where id=${id} 在调用这个语句时控制台打印的为：select * from table1 where id=2 ，假设传的参数值为 2

从上边的介绍可以看出这两种方式的区别，我们最好是能用 #{} 则用它，因为它可以防止 sql 注入，且是预编译的，在需要原样输出时才使用 ${}，如，

select * from ${tableName} order by ${id} 这里需要传入表名和按照哪个列进行排序 ，加入传入 table1、id 则语句为：select * from table1 order by id

如果是使用 #{} 则变成了 select * from 'table1' order by 'id' 我们知道这样就不对了。

另，在使用以下的配置时，必须使用 #{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
     select </span>* from message where id=<span style="color: rgba(0, 0, 0, 1)">#{id};
 </span>&lt;/select&gt;</pre>

在 parameterType 是 int 时，sql 语句中必须是 #{}。

另外，关注公众号回复”45“可获得一份极客时间的”mysql 实战 45 讲“，很干的干货！

有不对之处欢迎之处！谢谢