# 和 $ 的区别

• #{}:预编译处理，类似于占位符。
• ${}:字符直接替换

预编译处理：Mybatis在处理#{}时候，会将SQL中的#{}转换为？，使⽤ PreparedStatement 的 set ⽅法来赋值。

直接替换：是MyBatis 在处理 ${} 时，就是把 ${} 替换成变量的值。

举个例子：

#{}传过来的效果等价于：

${}传过来的效果等价于：

 通过${}传递的参数直接放在SQL中，替换为变量的值，会被当成表中的列，所以直接报错。

可以通过加 "来实现${} 的正确结果使用。即

这样就能实现和 #{} 一样的预处理功能了。只不过很少这样用，因为#{} 更加方便,而且更加安全。

SQL注入

${} 中字符的内容，直接被当作SQL的一部分来运行了，这样的现象也称为SQL注入。我们在添加引号的时候，很可能也出现SQL注入。因此，一般不使用。

SQL注入会影响程序的安全，

SQL注入代码:    ' or 1='1   

演示SQL注入

 那么我们就不会使用${}吗？

当然不会，既然存在自然是有他的用武之地的，下边我们来看${}的使用场景。

$的使用场景

使⽤ ${sort} 可以实现排序查询，⽽使⽤ #{sort} 就不能实现排序查询了，因为当使⽤ #{sort} 查询时， 如果传递的值为 String 则会加单引号，就会导致 sql 错误。

用# 实现排序：

 我们看到结果报错，所以排序的时候只能用$.

$排序时的SQL注入问题

我们上边看到 $ 的主要一个弊端就是SQL注入，而我们的排序时候又只能使用$,那么排序时候的SQL注入怎么解决呢？

在排序时，为了防止用户的恶意SQL，我们可以设置按钮封装，用户只能对正序逆序进行点击，参数由程序员来拼接，后端在查询之前对参数进行校验，只能传入两个值：desc 和 asc.

 like使用#会报错

SQL中的模糊查询，也只能用$，如下：

但是，同样，这里也存在SQL注入的问题，只要应用$，都要解决SQL注入的问题。

在这里这个问题比较难解决。

所以我们用另一种方式，用到一个mysql 的一个内置函数： concat（str1,str2,str3....）

concat(str1,str2...) + #