面试题：mybatis中# 和 $ 的区别

一、主要区别如下：

1、#{}可以理解为预处理，而${}是直接替换。

#传入的参数在SQL中显示为字符串，会对自动传入的数据加上双引号。
$传入的参数在SQL中直接显示为传入的值

2、#{}试用于所有类型的参数匹配，但${}只试用于数值类型

这个很好理解因为使用#{}传入的参数会以字符串的形式进行匹配，而${}传入的参数则是直接替换，数值类型你像Id这种直接替换还好，如果是字符Name这种传入一个名字直接替换的话就会出错。

3、#{}性能更高，并且没有SQL注入的安全性问题，但${}存在SQL注入的安全问题

4、大多数情况下还是经常使用#{}，一般能用#的就别用$ ,但是有些情况下必须使用$ ,例如：MyBatis排序时，使用order by动态参数时候需要注意，用$ 而不是#。

二、详细分析一下子（看好了！！！）

1.1 如下的SQL语句，使用#{}传入name字段，根据name查询

    <select id="getUserByName" resultMap="UserMap">select * from mybatis.user where name = #{Name}</select>

上述的SQL语句解析后内容如下：

好，，我们可以从下图中看到使用#{}传入的name参数，其在解析后生成的SQL语句是预处理、预先占领然后传入了String类型的这样一个参数的效果。

1.2 于此相对，上述的SQL语句，我们使用${} 传入name字段

    <select id="getUserByName" resultMap="UserMap">select * from mybatis.user where name = ${Name}</select>

上述的SQL语句解析后内容如下：

我们可以很清楚的看到，使用 $ 这种方式是将我们的传入的参数直接替换到对应的SQL语句中，这样不仅会导致SQL注入的问题，而且很明显是怎么样，，错误的（因为使用$ {} 它没有对你传入的参数进行预处理，只是单纯的替换，那肯定不行，应该处理为String类型的数据，这也说明了为什么#{}试用于各种传入的数据类型的参数）。
因此，使用$ 只有当传入的数据类型为整数或是特定的场景下时（比如MyBatis排序时，使用order by动态参数时候需要注意，用$ 而不是#）才是合适的。