一般來說，我們使用mybatis generator來生成mapper.xml文件時(shí)，會生成一些增刪改查的文件，這些文件中需要傳入一些參數(shù)，傳參數(shù)的時(shí)候，我們會注意到，參數(shù)的大括號外面，有兩種符號，一種是#，一種是$。這兩種符號有什么區(qū)別呢？

SELECT*FROMemployeeWHEREname=#{name}SELECT*FROMemployeeORDERBY${salary}

從上面的內(nèi)容我們可以比較清楚的看到，一般#{}用于傳遞查詢的參數(shù)，一般用于從dao層傳遞一個(gè)string或者其他的參數(shù)過來，mybatis對這個(gè)參數(shù)會進(jìn)行加引號的操作，將參數(shù)轉(zhuǎn)變?yōu)橐粋€(gè)字符串。

比如，這邊我們想根據(jù)姓名查詢某個(gè)人的信息，我們會從dao傳一個(gè)參數(shù)，比如jack過來，mybatis生成對應(yīng)的sql為：

SELECT*FROMemployeeWHEREname="jack"

而$則不同，我們一般用于ORDER BY的后面。此時(shí)mybatis對這個(gè)參數(shù)不會進(jìn)行任何的處理，直接生成sql語句。例如，此處我們傳入salary作為參數(shù)，傳入第二個(gè)中，此時(shí)，mybatis生成的sql語句為：

SELECT*FROMemployeeORDERBYsalary

可以看到，mybatis對其沒有做任何的處理。

但是，我們一般推薦使用的是#{}，不使用${}的原因如下：

會引起sql注入，因?yàn)?{}會直接參與sql編譯

會影響sql語句的預(yù)編譯，因?yàn)?${ } 僅僅為一個(gè)純碎的 string 替換，在動態(tài) SQL 解析階段將會進(jìn)行變量替換