Mybatis中的#{}用于傳遞查詢的參數，用于從dao層傳遞一個string參數過來（也可以是其他參數），select * from 表名 order by age=#{age}

Mybatis會把這個參數轉換成一個字符串。select * from 表名 order by age=“age” 相當于jdbc中的預編譯，安全。

而${}一般用于order by的后面，Mybatis不會對這個參數進行任何的處理，直接生成了sql語句。例：傳入一個年齡age的參數，select * from 表名 order by ${age}

Mybatis生成的語句為 select * from 表名 order by age Mybatis不會對$傳遞的參數做任何處理，相當于jdbc中的另外一種編譯方式。

mybatis中#和$的區別舉例說明

1 select * from user where name = “dato”;

2 select * from user where name = #{name};

3select * from user where name = ${name};

一般情況下，我們都不會注意到這里面有什么不一樣的地方。因為這些sql都可以達到我們的目的，去查詢名字叫dato的用戶。

區別

動態 SQL 是 mybatis 的強大特性之一，也是它優于其他 ORM 框架的一個重要原因。mybatis 在對 sql 語句進行預編譯之前，會對 sql 進行動態解析，解析為一個 BoundSql 對象，也是在此處對動態 SQL 進行處理的。在動態 SQL 解析階段， #{ } 和 ${ } 會有不同的表現

select * from user where name = #{name};

#{} 在動態解析的時候， 會解析成一個參數標記符。就是解析之后的語句是：

select * from user where name = ？;

那么我們使用 ${}的時候

select * from user where name = ${name};

${}在動態解析的時候，會將我們傳入的參數當做String字符串填充到我們的語句中，就會變成下面的語句

select * from user where name = “dato”;

預編譯之前的 SQL 語句已經不包含變量了，完全已經是常量數據了。相當于我們普通沒有變量的sql了。

綜上所得， ${ } 變量的替換階段是在動態 SQL 解析階段，而 #{ }變量的替換是在 DBMS 中。

這是 #{} 和 ${} 我們能看到的主要的區別，除此之外，還有以下區別：

#方式能夠很大程度防止sql注入。

$方式無法防止Sql注入。

$方式一般用于傳入數據庫對象，例如傳入表名。

一般能用#的就別用$.

所以我們在使用mybatis的時候，盡量的使用#方式，這是大家要注意的地方

對于mybatis中#和$綁定參數的區別總結?

＃{}將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #{id}，如果傳入的值是111，那么解析成sql時的值為order by “111”， 如果傳入的值是id，則解析成的sql為order by “id”。

${}將傳入的數據直接顯示生成在sql中。如：order by

${id}，如果傳入的值是111，那么解析成sql時的值為order by 111， 如果傳入的值是id，則解析成的sql為order

by id。

ps：在使用mybatis中還遇到<！［CDATA［］］>的用法，在該符號內的語句，將不會被當成字符串來處理，而是直接當成sql語句，比如要執行一個存儲過程。