#{…}是一个参数标记,将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是1,那么解析成sql时的值为order by "1", 如果传入的值是id,则解析成的sql为order by "id".
而${…}只是简单的字符串替换。$方式一般用于传入数据库对象,例如传入表名.
比如#{}打印出来的语句 select * from table where id=?,然而${} 则是不能防止SQL注入打印出来的语句 select * from table where id=2 实实在在的参数
一般而言,为避免SQL注入攻击,传递参数应使用#{…}方式,因为这样MyBatis会处理好特殊字符转义的问题
而对于诸如表名、字段名(如order by子句后的排序字段)这些表本身或其字段的名字,和SQL关键字(如order by子句后的asc关键字),是不能使用#{…}方式的,而只能使用字符串替换的${…}方式
原文:http://www.cnblogs.com/fengxm/p/4113122.html