1 #是将传入的值当做字符串的形式,eg:select id,name,age from student where id =#{id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id ='1'.
2 $是将传入的数据直接显示生成sql语句,eg:select id,name,age from student where id =${id},当前端把id值1,传入到后台的时候,就相当于 select id,name,age from student where id = 1.
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符 。预编译的话sql语句的格式已经定义好了,缺的就是要传入进去的参数,所以可以防止sql注入
${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。就比如说下面这条sql;
eg:SELECT * FROM users WHERE name = `" + userName + "` and pw = `"+ passWord +"`;在userName和passWord地方需要传入用户名和密码进行替换,如果传入的用户名和密码是:userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";这样的,那么这条sql就变成了:SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';如果用户名是正确还是错误,始终会为true;因此就可以跳过用户名和密码的验证.