#{} 和 ${} 的区别 — 详细！

#{}和${}这两个语法是为了动态传递参数而存在的，是Mybatis实现动态SQL的基础，总体上他们的作用是一致的（为了动态传参），但是在编译过程、是否自动加单引号、安全性、使用场景等方面有很多不同，下面详细比较两者间的区别。

预编译可以类比java类的编译，java类被编译成class文件，载入虚拟机，载入虚拟机的字节码文件可以先被编译成机器码，那么在执行某行代码的时候就可以直接执行编译后的机器码，而不用从字节码开始编译再执行，那么执行效率就高了。这也是为啥热机状态比冷机状态可以抗更多负载的原因。

Sql的预编译也是一样的道理，在执行前就编译好，等执行时直接取编译结果去执行。省去编译时间。Sql预编译后会在参数位置用占位符表示。所以预编译就是：数据库驱动在发送Sql和参数到DBMS之前，先对Sql语句进行编译处理，之后DBMS则可以直接对Sql进行处理，不需要再次编译，提高了性能。这一点mybatis 默认情况下，将对所有的Sql 进行预编译处理。

预编译可以将多个操作步骤合并成一个步骤，一般而言，越复杂的sql，编译程度也会复杂，难度大，耗时，费性能，而预编译可以合并这些操作，预编译之后DBMS可以省去编译直接运行sql。
预编译语句可以重复利用。把一个 sql 预编译后产生的 PreparedStatement 对象缓存下来，下次对于同一个sql，可以直接使用这个缓存的 PreparedState 对象。

上面列举了 #{} 和 ${} 的区别，接下来结合代码及SQL语句打印日志进行说明：

关于SQL语句打印，若是Spring Boot集成的Mybatis项目可以在application.yml文件中加入以下配置：

#{}动态获取id时，sql语句的打印显示的是一个“?”，即占位符。

#{}动态获取id时，sql语句的打印显示的是一个“1”，没有占位符，直接显示。

主要指的就是防SQL注入，什么是SQL注入？以上面的角色查询为例：如果此时的传参 name = "富贵 or name = 狗蛋"

可以看到SQL语句的查询规则已经改变，原本是查一个叫名字叫“富贵 or name=狗蛋”的角色，现在变成了查一个名字叫“富贵”或者叫“狗蛋”的角色，这种通过传参就能改变SQL语句原本规则的操作就是SQL注入，这个在实际生产中当然是危险的，攻击者可以把SQL命令插入到Web表单的输入域或页面请求的查询字符串中，欺骗服务器执行恶意的SQL命令。

可以看到，${} 直接拼接的方式可能引起SQL注入，不安全。那 #{} 为啥就可以防止SQL注入呢？