${} 相当于直接拼接SQL,类似于 JDBC 的 Statement 用法,
String sql = "select * from table where xxx = " + xxx + " and yyy = " + yyy;
这种方式缺陷是有被 SQL 注入的风险,并且数据库每次都会重新编译此SQL,因为每次都认为是一个新的 SQL。
==#{} 相当于预编译 SQL,对应 JDBC 的 PreparedStatement,就是 ? ==
占位符形式
String sql = “select * from table where xxx = ? and yyy = ?”;
// 然后每次执行动态传入不同的参数即可这样的好处是不会被 SQL 注入,因为数据库会将所有特殊的字符都当做参数处理,而且多次执行的话数据库也不会重新编译 SQL,因为每次数据库都认为是同一个 SQL,只是替换个参数而已。
综上:能用 #{} 就用 #{}只有在 #{} 不满足的情况下才用 ${}不支持的情况
比如对表名,排序字段,顺序等不支持参数化的部分做动态化的情况。
但要严格注意安全
例如:表名我们只允许他传递我们想要的几种,严格做好参数校验以防止 SQL 注入
