MyBatis中使用$和井号有什么具体区别？有哪些最佳实践？

引言：MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。

MyBatis的主要特性之一：动态sql，在 mapper 中定义的参数传到 xml 中之后，在查询之前， mybatis 会对其进行动态解析。#{}以及${}正是为mybatis提供的两种动态sql方法。

一、#{}以及${}两者的区别

1、防注入方面

• #{}：很大程度上能防止sql 注入
• ${}：不能防止sql 注入

2、符号类型方面

• #{}：参数占位符，即预编译
• ${} ：字符串替换符，即SQL拼接

3、参数替换位置方面

DBMS：数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件，是用于建立、使用和维护数据库，简称DBMS。它对数据库进行统一的管理和控制，以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据，数据库管理员也通过DBMS进行数据库的维护工作。它提供多种功能，可使多个应用程序和用户用不同的方法在同时或不同时刻去建立，修改和询问数据库。

• #{}：变量替换是在DBMS 中
• ${}：变量替换是在 DBMS 外

4、参数解析方面

• #{}：将传入的数据都当成一个字符串，会对传入的变量自动加一个单引号。如：user_id = #{userId}，如果传入的值是111，那么解析成sql时的值为user_id = ‘111’，如果传入的值是id，则解析成的sql为user_id = ‘id’。
• ${}：将传入的参数直接显示生成在sql中，且不加任何引号。如：user_id = ${userId}，如果传入的值是111，那么解析成sql时的值为user_id = 111 ， 如果传入的值是id，则解析成的sql为user_id = id。

5、执行过程方面

• #{}：编译好SQL后语句再去取值
• ${}：取值以后再去编译SQL语句

6、多用#少用$(一般能用#的就不用$)

二、SQL具体解析

1、两者的流程

#{}：动态解析 -> 预编译 -> 执行
${}：动态解析 -> 编译 -> 执行

2、具体案例

根据用户名name查询用户表user数据，如果 name 的值为 luoxiang

2.1、SQL编写

#{}

select * from user where name = #{name};

${}

select * from user where name = ${name};

2.2、编译中处理

#{}：在预处理时，会把参数用一个占位符” ?” 代替，变成以下SQL

select * from user where name = ?;

${}：只是简单的字符串替换，在动态解析时变成以下SQL

select * from user where name = 'luoxiang';

当然了，最后的解析结果是一样的，都是

select * from user where name = 'luoxiang';