前言

动态 sql 是 mybatis 的主要特性之一，在 mapper 中定义的参数传到 xml 中之后，在查询之前， mybatis 会对其进行动态解析。mybatis 为我们提供了两种支持动态 sql 的语法：#{}以及${}

提示：以下是本篇文章正文内容，下面案例可供参考

一、${}与#{}的区别

1、符号类型

（1）#{}：参数占位符，即预编译
（2）${} ：字符串替换符，即SQL拼接

2、防注入问题

（1）#{}：很大程度上能防止sql 注入
（2）${}：不能防止sql 注入

3、参数替换位置

DBMS：数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件，是用于建立、使用和维护数据库，简称DBMS。它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据，数据库管理员也通过DBMS进行数据库的维护工作。它提供多种功能，可使多个应用程序和用户用不同的方法在同时或不同时刻去建立，修改和询问数据库。

（1）#{}：变量替换是在DBMS 中
（2）${}：变量替换是在 DBMS 外

4、参数解析

（1）#{}：将传入的数据都当成一个字符串，会对传入的变量自动加一个单引号。如：user_id = #{userId}，如果传入的值是111，那么解析成sql时的值为user_id = ‘111’，如果传入的值是id，则解析成的sql为user_id = ‘id’。

（2）${}：将传入的参数直接显示生成在sql中，且不加任何引号。如：user_id = ${userId}，如果传入的值是111，那么解析成sql时的值为user_id = 111 ， 如果传入的值是id，则解析成的sql为user_id = id。

5、用$的情况

（1）MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：
ORDER BY ${columnName}，这里MyBatis不会修改或转义字符串。

（2）${}方式一般用于传入数据库对象，例如传入表名

Select  *  from  ${tableName}  where  user_id = #{userId}

6、sql执行过程

可参考“二”部分的案例
（1）#{}：编译好SQL后语句再去取值
（2）${}：取值以后再去编译SQL语句

7、一般能用#的就别用$

二、SQL解析

1、流程

（1）#{}：动态解析 -> 预编译 -> 执行
（2）${}：动态解析 -> 编译 -> 执行

2、案例

根据用户名name查询用户表user数据，如果 name 的值为 zhangsan
（1）SQL编写
#{}

select * from user where name = #{name};

${}

select * from user where name = ${name};

（2）（预）编译中的处理
#{}：在预处理时，会把参数用一个占位符" ?" 代替，变成以下SQL

select * from user where name = ?;

${}：只是简单的字符串替换，在动态解析时变成以下SQL

select * from user where name = 'zhangsan';

当然了，最后的解析结果是一样的，都是

select * from user where name = 'zhangsan';