mybatis中 为何#{}能防止SQL注入 而 ${}不行

在mybatis中，${param}这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用${param}这样的参数格式，因此，这样的参数须要程序开发者在代码中手工进行处理来防止注入。

#{param} 表明param是属性值,map里面的key或者是你的pojo对象里面的属性, mybatis会自动在它的外面加上引号,表如今sql语句是这样的 where column = 'param' ;

${param} 则是把param做为字符串拼接到sql语句中, 好比 order by topicId ,

语句这样写: order by #{param}  , mybatis 就会翻译成 order by 'topicId' （这样就会报错）

语句这样写 ... order by ${param} , mybatis 就会翻译成 order by topicId

#：将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，若是传入的值是111,那么解析成sql时的值为order by "111", 若是传入的值是id，则解析成的sql为order by "id".　　

$：将传入的数据直接显示生成在sql中。如：order by $user_id$，若是传入的值是111,那么解析成sql时的值为order by user_id, 若是传入的值是id，则解析成的sql为order by id