1、#{變量名}可以進行預編譯、類型匹配等操作，

2、#{變量名}會轉化為jdbc的類型。

3、${變量名}不進行數據類型匹配，直接替換。?

4、#方式能夠很大程度防止sql注入。

5、$方式無法方式sql注入。

6、$方式一般用于傳入數據庫對象，例如傳入表名。

7、盡量多用#方式，少用$方式。

8、#會自動加雙引號，$不會加雙引號

?這兩個符號在mybatis中最直接的區別就是：#相當于對數據 加上 單引號，$相當于直接顯示數據（只討論字符串類型的）。

1、#對傳入的參數視為字符串，也就是它會預編譯，select * from user where name = #{name}，比如我傳一個aaa，那么傳過來就是 select * from user where name = 'aaa'；

2、$將不會將傳入的值進行預編譯，select * from user where name=${name}，比如我傳一個aaa，那么傳過來就是 select * from user where name = aaa；

3、#的優勢就在于它能很大程度的防止sql注入，而$則不行。比如：用戶進行一個登錄操作，后臺sql驗證式樣的：select * from user where username=#{name} and password = #{pwd}，如果前臺傳來的用戶名是“wang”，密碼是 “1 or?1=1”，用#的方式就不會出現sql注入，而如果換成$方式，sql語句就變成了 select * from user where username=wang and password = 1 or 1=1。這樣的話就形成了sql注入。

4、MyBatis排序時使用order by 動態參數時需要注意，用$而不是#

字符串替換
默認情況下，使用#{}格式的語法會導致MyBatis創建預處理語句屬性并以它為背景設置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。比如，像ORDER BY，你可以這樣來使用：
ORDER BY ${columnName}
這里MyBatis不會修改或轉義字符串。

重要：接受從用戶輸出的內容并提供給語句中不變的字符串，這樣做是不安全的。這會導致潛在的SQL注入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義并檢查（通常我們應該對任何傳來的參數都抱著不信任的做法來寫程序，這樣我們的程序才健壯）。
?

?

總結

以上是生活随笔為你收集整理的Mybatis中的#号与$符号的区别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。