本文共 168 字，大约阅读时间需要 1 分钟。

1. #{}是占位符，通过预编译处理；${}是拼接符，通过字符串替换，非预编译处理。

2. #{}可以放置SQL注入攻击；${}不能防止SQL注入攻击

3. Mybatis会将SQL中的#{}替换为？，并通过PreparedStatement的set方法进行赋值；但Mybatis会直接将${}替换为变量的值，相当于使用的是Statement方式进行编译

转载地址：http://dbmmi.baihongyu.com/