MyBatis的SQL映射文件中，`#`和`$`符号的区别

在MyBatis的SQL映射文件中，#和$符号用于处理SQL语句中的参数替换，但它们的工作方式和使用场景有所不同。

#{} 符号

• 预编译参数：#{} 被用来作为预编译SQL语句的占位符。这意味着MyBatis会将你传入的参数设置为PreparedStatement的参数，从而防止SQL注入攻击，并允许MyBatis对传入的数据进行适当的类型转换。
• 安全性：由于它是通过JDBC的PreparedStatement机制来传递参数，因此能够有效避免SQL注入的风险。
• 示例：SELECT * FROM users WHERE id = #{userId}这里的#{userId}会被实际的参数值所替换，并且是以安全的方式进行的。

${} 符号

• 直接替换：${} 用于直接在SQL语句中插入内容，它不会被当作预编译参数处理，而是直接替换掉${}及其内部的内容。这可能导致SQL注入风险，特别是在使用用户输入时。
• 灵活性：尽管存在安全风险，但在某些情况下（例如动态表名或列名），因为这些值不能作为参数传递，所以需要使用${}。
• 示例：SELECT * FROM ${tableName} WHERE status = 'active'在这个例子中，${tableName}将被直接替换为具体的表名字符串。

使用建议

• 尽量使用#{}，因为它更安全，可以防止SQL注入。
• 只有当你确实需要动态地构建SQL语句的一部分（比如表名、列名等）时，才使用${}，并且要确保这部分输入是安全可控的，以避免SQL注入风险。

实际应用中的考虑

在你的SQL映射文件中，如果涉及到条件判断并根据不同的情况选择使用#还是$，请务必小心。例如，在提供的XML片段中：

<choose>
    <when test="pice.type== 'STRING'">${item.value}</when>
    <otherwise>#{item.value}</otherwise>
</choose>

这里对于type为'STRING'的情况直接使用了${item.value}，这种方式应该谨慎使用，尤其是当item.value来源于外部输入时。对于非'STRING'类型的处理，则安全地使用了#{item.value}。确保在使用${}时已经采取了足够的措施来验证和净化数据，以保护应用程序免受SQL注入攻击。