#相當於對數據 加上 雙引號，$相當於直接顯示數據

1. #將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。如：order by #user_id#，如果傳入的值是111,那麽解析成sql時的值為order by "111", 如果傳入的值是id，則解析成的sql為order by "id".
　　
2. $將傳入的數據直接顯示生成在sql中。如：order by $user_id$，如果傳入的值是111,那麽解析成sql時的值為order by user_id, 如果傳入的值是id，則解析成的sql為order by id.
　　
3. #方式能夠很大程度防止sql註入。
　　
4.$方式無法防止Sql註入。

5.$方式一般用於傳入數據庫對象，例如傳入表名.
　　
6.一般能用#的就別用$.


MyBatis排序時使用order by 動態參數時需要註意，用$而不是#


字符串替換
默認情況下，使用#{}格式的語法會導致MyBatis創建預處理語句屬性並以它為背景設置安全的值（比如?）。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。比如，像ORDER BY，你可以這樣來使用：
ORDER BY ${columnName}
這裏MyBatis不會修改或轉義字符串。

重要：接受從用戶輸出的內容並提供給語句中不變的字符串，這樣做是不安全的。這會導致潛在的SQL註入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義並檢查。

#{}:

使用#{}意味著使用的預編譯的語句，即在使用jdbc時的preparedStatement，sql語句中如果存在參數則會使用?作占位符，我們知道這種方式可以防止sql註入，並且在使用#{}時形成的sql語句，已經帶有引號，例，select * from table1 where id=#{id} 在調用這個語句時我們可以通過後臺看到打印出的sql為：select * from table1 where id=‘2‘ 加入傳的值為2.也就是說在組成sql語句的時候把參數默認為字符串。

${}:

使用${}時的sql不會當做字符串處理，是什麽就是什麽，如上邊的語句：select * from table1 where id=${id} 在調用這個語句時控制臺打印的為：select * from table1 where id=2 ，假設傳的參數值為2

從上邊的介紹可以看出這兩種方式的區別，我們最好是能用#{}則用它，因為它可以防止sql註入，且是預編譯的，在需要原樣輸出時才使用${}，如，

select * from ${tableName} order by ${id} 這裏需要傳入表名和按照哪個列進行排序 ，加入傳入table1、id 則語句為：select * from table1 order by id

如果是使用#{} 則變成了select * from ‘table1‘ order by ‘id‘ 我們知道這樣就不對了。

另，在使用以下的配置時，必須使用#{}

<select id="selectMessageByIdI" parameterType="int" resultType="Message">
         
         select * from message where id=#{id};
     </select>

在parameterType是int時，sql語句中必須是#{}

MyBatis 中#和$符號的區別