mybatis 中 #{}和 ${}的区别是什么？

{}采用预编译处理，防止SQL注入，自动转义并加引号；2. ${}为字符串直接替换，存在安全风险，需手动校验；3. 优先使用#{}，仅在动态表名等场景慎用${}。

在 MyBatis 中，#{} 和 ${} 都用于在 SQL 语句中插入动态参数，但它们的处理方式和安全性有本质区别。

#{}：预编译处理（推荐使用）

MyBatis 会将 #{} 占位符替换为 ?，然后通过 PreparedStatement 的参数设置机制来赋值。这种方式可以有效防止 SQL 注入，是更安全的选择。

• 参数会被自动加上引号（如果是字符串类型）
• 特殊字符会被转义
• 支持基本类型、对象、Map 等多种数据源取值

例如：select * from user where id = #{id} → 实际执行：select * from user where id = ?

${}：直接字符串替换（需谨慎使用）

MyBatis 会直接把 ${} 中的内容拼接到 SQL 语句中，不做任何转义或预处理。相当于简单的字符串替换，存在 SQL 注入风险。

• 常用于动态表名、排序字段（order by）、列名等无法使用预编译的场景
• 需要开发者自行确保传入内容的安全性
• 不会自动添加引号，需手动处理

例如：select * from ${tableName} → 实际执行：select * from user_table

使用建议

能用 #{} 的地方尽量不用 ${}。只有在必须动态拼接 SQL 结构（如表名、字段名）时才考虑使用 ${}，并且要对输入严格校验或使用白名单机制。

基本上就这些，关键是理解预编译和字符串拼接的区别。