MyBatis配置中的#{}和${}有什么区别？

前几天，一位应届生去面试，被问到一个MyBatis中比较基础的问题，说MyBatis中的#号和$符号有什么区别？今天，我给大家来详细介绍一下。

1、两者区别

Mybatis提供到的#号和$号，都是实现动态SQL的一种方式，通过这两种方式把参数传递到XML之后，在执行操作之前，Mybatis会对这两种占位符进行动态解析。

下面我给家详细介绍一下#号和$号的区别，

首先，来看#号，等同于JDBC里面的？号（占位符）。

它相当于向PreparedStatement预处理语句中设置参数，而PreparedStatement中的SQL语句是预编译的，如果在设置的参数包含特殊字符，会自动进行转义。所以#号占位符可以防止SQL注入。

比如：这样一段代码：

解析前：

select * from user order by #{age} desc;

解析后：

select * from user order by ? desc;

而使用$号，相当于直接把参数拼接到了原始的SQL里面，MyBatis不会对它进行特殊处理。

解析前：

select * from user order by ${age} desc;

解析后：

select * from user order by age desc;

所以$和#最大的区别在于，前者是动态参数，后者是占位符， 动态参数无法防止SQL注入的问题，所以在实际应用中，应该尽可能的使用#号占位符。

另外，$符号的动态传参，可以适合应用在一些动态SQL场景中，比如动态传递表名、动态设置排序字段等。

2、总结

一些小的细节如果不注意，就有可能造成巨大的经济损失。在技术如此成熟的互联网时代，还是会有一些网站经常出现SQL注入导致信息泄露的问题。

以上就是我对MyBatis配置#号和$号的理解。