mybatis裡#{}與${}的用法：

　　在動態sql解析過程，#{}與${}的效果是不一樣的：

  #{ } 解析為一個 JDBC 預編譯語句（prepared statement）的引數標記符。

　　如以下sql語句

  select * from user where name = #{name};

　　會被解析為：

  select * from user where name = ?;

　　可以看到#{}被解析為一個引數佔位符？。

  ${ } 僅僅為一個純碎的 string 替換，在動態 SQL 解析階段將會進行變數替換

　　如以下sql語句：

  select * from user where name = ${name};

　　當我們傳遞引數“sprite”時，sql會解析為：

  select * from user where name = "sprite";

　　可以看到預編譯之前的sql語句已經不包含變數name了。

　　綜上所得， ${ } 的變數的替換階段是在動態 SQL 解析階段，而 #{ }的變數的替換是在 DBMS 中。

#{}與${}的區別可以簡單總結如下：

• #{}將傳入的引數當成一個字串，會給傳入的引數加一個雙引號
• ${}將傳入的引數直接顯示生成在sql中，不會新增引號
• #{}能夠很大程度上防止sql注入，${}無法防止sql注入

　　${}在預編譯之前已經被變數替換了，這會存在sql注入的風險。如下sql

  select * from ${tableName} where name = ${name}

　　如果傳入的引數tableName為user; delete user; --，那麼sql動態解析之後，預編譯之前的sql將變為：

  select * from user; delete user; -- where name = ?;

　　--之後的語句將作為註釋不起作用，頓時我和我的小夥伴驚呆了！！！看到沒，本來的查詢語句，竟然偷偷的包含了一個刪除表資料的sql，是刪除，刪除，刪除！！！重要的事情說三遍，可想而知，這個風險是有多大。

• ${}一般用於傳輸資料庫的表名、欄位名等
• 能用#{}的地方儘量別用${}

　　進入正題，通過上面的分析，相信大家可能已經對如何動態呼叫表名和欄位名有些思路了。示例如下：

  <select id="getUser" resultType="java.util.Map" parameterType="java.lang.String" statementType="STATEMENT">
    select 
         ${columns}
    from ${tableName}
        where 
　　　　　　　　COMPANY_REMARK = ${company}
  </select>

　　要實現動態呼叫表名和欄位名，就不能使用預編譯了，需新增statementType="STATEMENT""。

  statementType：STATEMENT（非預編譯），PREPARED（預編譯）或CALLABLE中的任意一個，這就告訴 MyBatis 分別使用Statement，PreparedStatement或者CallableStatement。預設：PREPARED。這裡顯然不能使用預編譯，要改成非預編譯。

　　其次，sql裡的變數取值是${xxx},不是#{xxx}。

　　因為${}是將傳入的引數直接顯示生成sql，如${xxx}傳入的引數為字串資料，需在引數傳入前加上引號，如：

   String name = "sprite";
   name = "'" + name + "'";