1.#{变量名}可以进行预编译、类型匹配等操作,#{变量名}会转化为jdbc的类型。
select * from tableName where id = #{id}
假设id的值为12,其中如果数据库字段id为字符型,那么#{id}表示的是‘12’;如果是整型,则id的值为12,
2、${变量名}不进行数据类型匹配,直接替换
select * from tableName where id = ${id}
如果字段id为整型,sql语句就不会出错,但是如果字段id为字符型,那么sql语句就改写为
select * from tableName where id = ‘${id}’
3.#{}方式能够很大程度上防止sql注入;而${}方式无法防止sql注入。
根本就是: #{}这种取值方式是先编好sql语句再进行取值,即先编译后取值;而${}这种方式是先取值后再去编译sql语句,即先取值后编译。