#{變量名}可以進行預編譯、類型匹配等操作，#{變量名}會轉化為jdbc的類型。

假設id的值為12，其中如果數據庫字段id為字符型，那么#{id}表示的就是'12'，如果id為整型，那么id就是12，并且MyBatis會將上面SQL語句轉化為jdbc的select * from tablename where id=?，把?參數設置為id的值。

${變量名}不進行數據類型匹配，直接替換。

如果字段id為整型，sql語句就不會出錯，但是如果字段id為字符型， 那么sql語句應該寫成

#方式能夠很大程度防止sql注入。

$方式無法方式sql注入。

$方式一般用于傳入數據庫對象，例如傳入表名。

盡量多用#方式，少用$方式。

mybatis框架作為一款半自動化的持久層框架，其sql語句都要我們自己來手動編寫，這個時候當然需要防止sql注入。其實Mybatis的sql是一個具有“輸入+輸出”功能，類似于函數的結構，如下：

這里，parameterType標示了輸入的參數類型，resultType標示了輸出的參數類型。回應上文，如果我們想防止sql注入，理所當然地要在輸入參數上下功夫。上面代碼中高亮部分即輸入參數在sql中拼接的部分，傳入參數后，打印出執行的sql語句，會看到sql是這樣的：

不管輸入什么參數，打印出的sql都是這樣的。這是因為mybatis啟用了預編譯功能，在sql執行前，會先將上面的sql發送給數據庫進行編譯，執行時，直接使用編譯好的sql，替換占位符“？”就可以了。因為sql注入只能對編譯過程起作用，所以這樣的方式就很好地避免了sql注入的問題。

以上所述是小編給大家介紹的MyBatis中#號與美元符號的區別，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復大家的。在此也非常感謝大家對服務器之家網站的支持！

原文鏈接：http://blog.csdn.net/java1993666/article/details/54377036