2023.10.31

#{}：先编译sql语句，再给占位符传值，底层是PreparedStatement实现。可以防止sql注入，比较常用。

${}：先进行sql语句拼接，然后再编译sql语句，底层是Statement实现。存在sql注入现象。只有在需要进行sql语句关键字拼接的情况下才会用到。

考虑一个使用${}的场景：

        假如需要使用mybatis实现批量删除的功能，有两种sql语句可以实现：

• delete from t_user where id = 1 or id = 2 or id = 3;
• delete from t_user where id in(1, 2, 3);

这里假设使用第二种，用in的方式。

此时接口的实现类会传来一个参数：ids，代表他想批量删除的一些id，假设传过来的ids为1, 2, 3。此时我们在xml配置文件中写sql语句的时候，如果使用#{}：

<delete id="deleteBatch">delete from t_car where id in(#{ids})
</delete>

那么底层会被编译成：

delete from t_user where id in('1,2,3')，显然不能完成需求。

如果使用${}:

<delete id="deleteBatch">delete from t_car where id in(${ids})
</delete>

底层会被翻译为：

delete from t_user where id in(1, 2, 3)，如此便可以完成需求了。