在 MyBatis 中，$ 和 # 是两种不同的占位符，分别用于动态 SQL 中的字符串拼接和参数传递。它们的具体含义和使用场景如下：

# (占位符):

• # 用于传递参数，主要是为了防止 SQL 注入。MyBatis 会将使用 # 占位符的参数作为预编译的参数传递给数据库。
• 它会对参数进行适当的转义处理，确保安全性。在 SQL 执行时，参数会被替换为使用 JDBC 的 PreparedStatement 方式的参数。
• 例子：

<select id="getUser" parameterType="int" resultType="User">  
    SELECT * FROM user WHERE id = #{userId}  
</select>

$ (字符串拼接):

• $ 用于直接插入值，适合用于动态构建 SQL 语句的一部分。使用 $ 的时候，MyBatis 不会对输入进行转义处理。因此，如果输入的数据不安全，可能会导致 SQL 注入风险。
• 它通常用于表名、列名或其他 SQL 关键字等，不能通过参数传递的动态部分。
• 例子：

<select id="getUserByColumn" parameterType="string" resultType="User">  
    SELECT * FROM user WHERE ${columnName} = #{value}  
</select>

总结

• 使用 # 来防止 SQL 注入，确保安全性，适用于大多数参数传递的场景。
• 使用 $ 来直接拼接字符串，适用于动态 SQL 的构建，但要注意安全风险。

安全提示

在使用 $ 时，应确保插入的内容是可信的，避免用户输入直接拼接进 SQL 语句中，导致 SQL 注入漏洞。