一、#{} 和 ${} 的实例

假设传入参数为 1

（1）开始

1）#{}：select * from t_user where uid=#{uid}
2）${}：select * from t_user where uid= '${uid}'

（2）然后

1）#{}：select * from t_user where uid= ?
2）${}：select * from t_user where uid= '1'

（3）最后

1）#{}：select * from t_user where uid= '1'
2）${}：select * from t_user where uid= '1'

二、#{} 和 ${} 的大括号中的值

1、单个参数的情形

1）使用#{}：

无MyBatis 默认值，可任意，且与参数名无关

2）使用${}：
<1>使用 MyBatis 默认值 value，即 ${value}

<2>使用自定义参数名，前提：在映射器接口方法的参数前加注解@Param("")

2、多个参数的情形

1）使用#{}：

<1>使用MyBatis 默认值 arg0、arg1、arg2 … 或 param1、param2、param3 …

<2>使用自定义参数名，前提：在映射器接口方法的参数前加注解@Param("")

2）使用${}：

<1>使用MyBatis 默认值 arg0、arg1、arg2 … 或 param1、param2、param3 …

<2>使用自定义参数名，前提：在映射器接口方法的参数前加注解@Param("")

三、#{} 和 ${} 在使用中的技巧和建议

（1）不论是单个参数，还是多个参数，一律都建议使用注解@Param("")

（2）能用 #{} 的地方就用 #{}，不用或少用 ${}

（3）表名作参数时，必须用 ${}。如：select * from ${tableName}

（4）order by 时，必须用 ${}。如：select * from t_user order by ${columnName}

（5）使用 ${} 时，要注意何时加或不加单引号，即 和 ′ {} 和 ' 和′{}’

四、面试题：#{}和${}的区别是什么？

1）#{}是预编译处理，$ {}是字符串替换。mybatis在处理#{}时，会将sql中的#{}替换为?号；mybatis在处理 $ { } 时，就是把 ${ } 替换成变量的值。

2）变量替换后，#{} 对应的变量自动加上单引号 ；变量替换后，${} 对应的变量不会加上单引号

3）能用#{}尽量不要用${}，在某些特殊场合下只能用${}，不能用#{}。
例如：表名作参数时，必须用 ${}。如：select * from ${tableName}
例如：order by 时，必须用 ${}。如：select * from t_user order by ${columnName}。
（为什么上面两种情况不能使用#{}呢？我觉得很可能就是“变量替换后，#{} 对应的变量自动加上单引号”惹得鬼）

4）使用 #{} 可以有效的防止SQL注入，提高系统安全性。
#{} 的预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。