mybatis mapper文件中的变量引用方式#{}与${}的差别 默认情况下,使用#{}语法,mybatis会产生preparedstatement语句中，并且安全的设置preparedstatement参数，这个过程中mybatis会进行必要的安全检查和转义。 示例1：执行sql：select * from emp where name =
mybatis mapper文件中的变量引用方式#{}与${}的差别
默认情况下,使用#{}语法,mybatis会产生preparedstatement语句中，并且安全的设置preparedstatement参数，这个过程中mybatis会进行必要的安全检查和转义。
示例1：执行sql：select * from emp where name = #{employeename}参数：employeename=>smith解析后执行的sql：select * from emp where name = ？示例2：执行sql：select * from emp where name = ${employeename}参数：employeename传入值为：smith解析后执行的sql：select * from emp where name = smith
综上所述、${}方式会引发sql注入的问题、同时也会影响sql语句的预编译，所以从安全性和性能的角度出发，能使用#{}的情况下就不要使用${}
但是${}在什么情况下使用呢？
有时候可能需要直接插入一个不做任何修改的字符串到sql语句中。这时候应该使用${}语法。
比如，动态sql中的字段名，如：order by ${columnname}