MyBatis中使用parameterType向SQL語(yǔ)句傳參，parameterType后的類型可以是基本類型int,String,HashMap和java自定義類型。
在SQL中引用這些參數(shù)的時(shí)候，可以使用兩種方式#{parameterName}或者${parameterName}，首先，我們說(shuō)一下這兩種引用參數(shù)時(shí)的區(qū)別，使用#{parameterName}引用參數(shù)的時(shí)候，Mybatis會(huì)把這個(gè)參數(shù)認(rèn)為是一個(gè)字符串，例如傳入?yún)?shù)是“Smith”，那么在SQL（Select * from emp where name = #{employeeName})使用的時(shí)候就會(huì)轉(zhuǎn)換為Select * from emp where name = 'Smith'; 同時(shí)在SQL（Select * from emp where name = ${employeeName}）使用的時(shí)候就會(huì)轉(zhuǎn)換為Select * from emp where name = Smith。

簡(jiǎn)單說(shuō)#{}是經(jīng)過(guò)預(yù)編譯的,是安全的,而${}是未經(jīng)過(guò)預(yù)編譯的,僅僅是取變量的值,是非安全的,存在sql注入。
只能${}的情況,order by、like 語(yǔ)句只能用${}了,用#{}會(huì)多個(gè)' '導(dǎo)致sql語(yǔ)句失效.此外動(dòng)態(tài)拼接sql也要用${}

#{} 這種取值是編譯好SQL語(yǔ)句再取值
${} 這種是取值以后再去編譯SQL語(yǔ)句

上面是簡(jiǎn)單的理解
下面詳細(xì)講解

1. #將傳入的數(shù)據(jù)都當(dāng)成一個(gè)字符串，會(huì)對(duì)自動(dòng)傳入的數(shù)據(jù)加一個(gè)雙引號(hào)。如：
order by #user_id#，如果傳入的值是111,那么解析成sql時(shí)的值為order by "111",
 如果傳入的值是id，則解析成的sql為order by "id".
2. $將傳入的數(shù)據(jù)直接顯示生成在sql中。如：order by $user_id$，
如果傳入的值是111,那么解析成sql時(shí)的值為order by user_id, 
 如果傳入的值是id，則解析成的sql為order by id.
3. #方式能夠很大程度防止sql注入。
4.$方式無(wú)法防止Sql注入。
5.$方式一般用于傳入數(shù)據(jù)庫(kù)對(duì)象，例如傳入表名.
6.一般能用#的就別用$.
MyBatis排序時(shí)使用order by 動(dòng)態(tài)參數(shù)時(shí)需要注意，用$而不是#
字符串替換
默認(rèn)情況下，使用#{}格式的語(yǔ)法會(huì)導(dǎo)致MyBatis創(chuàng)建預(yù)處理語(yǔ)句屬性并以它為背景設(shè)置
安全的值（比如?）。這樣做很安全，很迅速也是首選做法
有時(shí)你只是想直接在sql語(yǔ)句中插入一個(gè)不改變的
字符串。比如，像ORDER BY，你可以這樣來(lái)使用：ORDER BY ${columnName}
這里MyBatis不會(huì)修改或轉(zhuǎn)義字符串。重要：接受從用戶輸出的內(nèi)容并提供給語(yǔ)句中
不變的字符串，這樣做是不安全的。這會(huì)導(dǎo)致潛在的sql注入攻擊，因此你不應(yīng)該
允許用戶輸入這些字段，或者通常自行轉(zhuǎn)義并檢查。