区别
#{parameterName}引用参数的时候,Mybatis会把这个参数认为是一个字符串,并自动加上''
sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。
Select * from emp where name = #{employeeName}
Select * from emp where name = 'Smith';
Select * from emp where name = ${employeeName}
Select * from emp where name = Smith;
#{}是经过预编译的,是安全的。
${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
用法
能使用 #{} 的地方就用 #{}
表名作为变量时,必须使用 ${}