Java MyBatis 中 #{}和 ${}的区别是什么？

在 MyBatis 中，#{} 和 ${} 是两种不同的参数注入方式，主要区别在于参数的预处理和安全性。

`#{}` ：预处理参数

#{} 用于预处理参数，会将参数值以预编译的形式传递给 SQL 引擎，防止 SQL 注入攻击。

<!-- 示例：使用#{}预处理参数 -->
<select id="getUserById" resultType="User">SELECT * FROM user WHERE id = #{userId}
</select>

在上面的例子中，#{userId} 会被 MyBatis 替换成 ?，然后在执行 SQL 语句时，将真正的参数值传递给 ? 进行预编译，这有助于防止 SQL 注入。

`${}`：直接拼接参数

${} 用于直接拼接参数，将参数值直接替换到 SQL 语句中，不进行预处理。这样做可能会存在 SQL 注入的风险，因此要慎用。

<!-- 示例：使用${}直接拼接参数 -->
<select id="getUserByName" resultType="User">SELECT * FROM user WHERE name = '${userName}'
</select>

在上面的例子中，${userName} 会直接替换成实际的参数值，如果参数值包含恶意的 SQL 语句，可能导致 SQL 注入攻击。

区别总结：

#{} 用于预处理参数，安全性更高，可以防止 SQL 注入。
${} 用于直接拼接参数，慎用，可能存在 SQL 注入的风险。

示例代码：

public interface UserMapper {// 使用#{}预处理参数@Select("SELECT * FROM user WHERE id = #{userId}")User getUserById(@Param("userId") int userId);// 使用${}直接拼接参数@Select("SELECT * FROM user WHERE name = '${userName}'")User getUserByName(@Param("userName") String userName);
}