【Mybatis小白从0到90%精讲】14: Mybatis中传递参数 有了#，为什么还需要$

---

前言

MyBatis中提供了两种在SQL语句中插入动态参数的方式：#{}和${}，常见的做法是使用#{}，可以防止SQL注入攻击，而 ${} 有SQL注入风险。那么你是否有疑问，这些天并没有用过${}，那么${}有存在的必要吗？ 它的作用和使用场景是什么呢？

---

区别

先简单说说两者的区别，这也是面试的常考点之一。

#{} 是预编译处理，可以防止SQL注入攻击，传递参数底层使用PreparedStatement，同时可以自动进行类型转换，比如将字符串转换为数字等。

${} 是字符串替换，它会直接将参数替换到SQL语句中，传递参数底层使用Statement。因为是字符串替换ÿ