#{}和${}的区别

一相同点
都可以获取map或者JavaBean中的信息
二不同点
#
1.#是预编译处理(是什么)
2.mybatis在处理#的时候,会将sql中的#{}替换为?号,调用预编译语句(PreparedStatement)中的set注入参数(这也是为什么变成问号的原因)
3.会在sql中加上' '单引号,所以会相对安全,不会有sql注入问题
4.支持基本数据类型(八大数据类型,包装类,BigDecimal等等)
$
1.$是字符串替换(是什么)
2.mybatis在处理$的时候,会将$的变量,原原本本的赋值到sql里面
3.直接作为SQL本身,不会加单引号,所以有sql注入问题(案例:以前可以通过sql注入盗取qq)
4.不支持基本数据类型
怎么选取,要通过安全性去考虑
总的来说,作为排序或者分组字句获取参数值时使用$
其他作为子句获取参数值使用#

对于第4点的解释(支持基本数据类型的意思)
例如传入单个参数比如: void get(Long id),#{}取值时,可以使用任意的字符串,#{aaa},#{id}都可以取到 void get(Long id)参数的值, 但是${}取值就不能随意的字符串,必须要是id -${id}
简单的说就是:
#能识别void get(Long id)中的Long类型和参数名id,sql里面换了名字,#通过类型(Long)还能找到值
而$只能识别void get(Long id)中的参数名id,sql里面换了名字就不认识了