Mybatis 的Mapper.xml語句中parameterType向SQL語句傳參有兩種方式：#{}和${}

• #{}方式能夠很大程度防止sql注入。
• $方式無法防止Sql注入。
• $方式一般用於傳入資料庫物件，例如傳入表名.
• 一般能用#的就別用$.

#{}表示一個佔位符即?，可以有效防止sql注入。在使用時不需要關心引數值的型別，mybatis會自動進行java型別和jdbc型別的轉換。  #{}可以接收簡單型別值或pojo屬性值，如果傳入簡單型別值，#{}括號中可以是任意名稱。

${}可以將parameterType 傳入的內容拼接在sql中且不進行jdbc型別轉換。  ${}可以接收簡單型別值或pojo屬性值，如果傳入簡單型別值，${}括號中名稱只能是value。

select * from goods 

<if test="orderArgs!=null">

    order by #{orderArgs}

</if>

結果沒有任何效果。最後把 #{} 改成 ${}，結果正確。

動態 SQL 是 mybatis 的強大特性之一，也是它優於其他 ORM 框架的一個重要原因。mybatis 在對 sql 語句進行預編譯之前，會對 sql 進行動態解析，解析為一個 BoundSql 物件，也是在此處對動態 SQL 進行處理的。在動態 SQL 解析階段， #{ } 和 ${ } 會有不同的表現。 select * from goods order by  #{orderArgs};  #{} 在動態解析的時候， 會解析成一個引數標記符。就是解析之後的語句是：

select * from goods order by ?;  #{}在代入引數時，自動在引數前後加上字串，最終形成的SQL語句就成了：

select * from goods order by "price"，引數本來是列名，現在變成了一個字串，結果自然不正確了。

那麼我們使用 ${}的時候

select * from goods order by ${orderArgs}; 

${}在動態解析的時候，會將我們傳入的引數當做String字串填充到我們的語句中，就會變成下面的語句 selecxt * from goods order by price 預編譯之前的 SQL 語句已經不包含變量了，完全已經是常量資料了。相當於我們普通沒有變數的sql了,加了雙引號，引數變成了一個字串。 綜上所得， ${ } 變數的替換階段是在動態 SQL 解析階段，而 #{ }變數的替換是在 DBMS 中。

對於order by排序，使用#{}將無法實現功能，應該寫成如下形式：

ORDER BY ${columnName}

  另外，對於mybatis逆向工程生成的程式碼中，進行模糊查詢呼叫andXxxLike()方法時，需要手動加％，如下：

CustomerExample customerExample=new CustomerExample();
        customerExample.or().andNameLike("%"+name+"%");