在mybatis介面mapper檔案中引用傳入的引數是通過#{param}或者${param}來使用的。

1.資料型別匹配

# 會進行預編譯，而且進行型別匹配
$:不進行資料型別匹配

2.實現方式

#用於變數替換
$:實質上是字串拼接

3.#和$的使用場景

（1）變數的傳遞，必須使用#，使用#{}就等於使用了PrepareStatement這種佔位符的形式,提高效率。可以防止sql注入等等問題。#方式一般用於傳入新增，修改的值或查詢，刪除的where條件 id值

select * from t_user where name = #{param}

(2)$只是只是簡單的字串拼接，要特別小心sql注入問題，對應非變數部分，只能用$。$方式一般用於傳入資料庫物件，比如這種group by 欄位 ,order by 欄位，表名，欄位名等沒法使用佔位符的就需要使用${}

select count(*), from t_user group by ${param}

(3)能同時使用#和$的時候，最好用#。

sql注入問題:

SQL注入就是將原本的SQL語句的邏輯結構改變，使得SQL語句的執行結果和原本開發者的意圖不一樣.
比如：使用Statement語句執行者，執行sql，會造成sql注入的問題：

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";

如果我們把[' or '1' = '1]作為varpasswd傳入進來，執行查詢的時候 sql會變成：

String sql = "select * from tb_name where name= '' and passwd = '' or '1' = '1'

其中1=1是永遠成立的，所以，前面的條件已經不起作用。

我們使用預編譯語句執行者就可以避免這個問題，prepareStatement將sql預編譯，傳引數的時候，不會改變sql語句結構，就可以避免注入。