MyBatis动态传入表名以及#{}和${}的区别

在mybatis中如果我们使用#{}的方式编写的sql时，#{} 对应的变量自动加上单引号 ’ ’

例如：（假设param参数类型为String，值为user）
mybatis中采用#{param}获取表名

select * from #{param}

当我们给参数传入值为user时，他的sql是这样的：

select * from 'user'

参数user上会带着单引号，而单引号在mysql中会被识别为字符串，select一个字符串肯定是会报错的。

而如果我们使用${}的方式编写的sql时，${} 是进行sql拼接，${} 对应的变量是不会被加上单引号 ’ ’ 的。

mybatis中采用${param}获取表名

select * from ${param}

输出的sql为

select * from user

总结一下，就是当我们需要拼接的变量上不能带单引号时，就必须使用${},其他情况都尽量使用#{}的方式，因为${}会有sql注入的问题。

常见的使用${}的情况：

1. 当sql中表名是从参数中取的情况
2. order by排序语句中，因为order by 后边必须跟字段名，这个字段名不能带引号，如果带引号会被识别会字符串，而不是字段。

（Refer）