1. myBatis中#{}和${}标识的区别是什么

MyBatis中的#{}和${}都是用来动态地向SQL语句中插入参数的，但它们之间存在几个关键的区别：

预编译与字符串替换：

#{}是预编译处理的参数占位符。MyBatis会将#{}中的内容替换为一个预编译语句的参数标记（通常是一个问号?），并在执行SQL前通过PreparedStatement将实际参数值安全地绑定到这个占位符上。这种方式可以有效防止SQL注入攻击，因为参数值会被正确转义。

${}则是简单的字符串替换。MyBatis会在SQL语句被发送到数据库之前，直接将${}中的内容替换为参数的实际值，不做任何转义处理。这意味着${}用法容易受到SQL注入攻击。

安全性：

使用#{}更安全，因为它通过预编译参数防止了SQL注入。

${}由于直接拼接到SQL中，不提供任何防护措施，如果参数来源于用户输入，可能会导致严重的安全问题。

数据类型处理：

#{}会根据参数的类型自动处理，比如字符串会自动加上单引号，数值类型则直接作为数值处理，无需手动添加引号。

${}不会自动处理数据类型，替换后的内容原样插入到SQL中，因此需要手动处理引号等问题。

适用场景：

#{}适用于大部分情况，尤其是需要安全地传递参数时。

${}主要用于非动态查询部分，比如表名、列名等静态SQL片段，或者是在完全确定安全的情况下进行一些特殊处理，但这种用法需要非常谨慎。

示例：

SELECT * FROM users WHERE username = #{username}; // 安全，适用于参数值。

SELECT * FROM ${tableName} WHERE id = #{id}; // 若tableName由程序控制且可信，可用于动态指定表名。

总的来说，#{}推荐用于所有需要传递参数值的情况，以确保安全性和正确的数据处理，而${}应谨慎使用，并且仅在确定不会引起SQL注入风险时用于字符串替换。

  如果大家需要视频版本的讲解，欢迎关注我的B站：