#{}是预编译处理，${}是字符串替换。mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值，最后注入进去是带引号的；mybatis在处理${}时，就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入，提高系统安全性。

例如：

　　#是将传入的值当做字符串的形式，eg:select id,name,age from student where id =#{id},当前端把id值1，传入到后台的时候，就相当于 select id,name,age from student where id ='1'.

　　$是将传入的数据直接显示生成sql语句，eg:select id,name,age from student where id =${id},当前端把id值1，传入到后台的时候，就相当于 select id,name,age from student where id = 1.

对于这个题目我感觉要抓住两点：
（1）$符号一般用来当作占位符，常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符，当然就是被用来替换的。知道了这点就能很容易区分$和#，从而不容易记错了。
（2）预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

最新文章

1. svn提交报e200007错误
2. Mininet实验 源码安装Mininet
3. Android zxing实现二维码生成和解析
4. MyEclipse------随机流(能读也能写数据)
5. 图中最短路径算法（Dijkstra算法）（转）
6. Python 以指定概率获取元素
7. 分布式PostGIS系列【1】— 概述
8. Notepad++ 右键菜单自定义配置
9. #include <bitset>
10. 名片管理系统v1.1（tools)
11. hibernate 持久化对象的三个状态
12. flask中jinjia2模板引擎详解3
13. MacOS下Rails+Nginx+SSL环境的搭建(中)
14. javaScript drag对象进行拖拽使用详解
15. 关于JQuery中$.get()和$.post()和$.ajax()的区别和使用
16. Storm——Android SQLite数据库管理类库
17. laravel项目thinksns+安装pc前端页面
18. 关于jQ的Ajax操作
19. echo变量失败，提示：ECHO 处于关闭状态
20. m2e-wtp error: <path>/target/m2e-wtp/web-resources/META-INF/MANIFEST.MF (No such file or directory)

热门文章

1. python学习——列表和元组
2. C++ 线程安全的单例模式总结
3. unity_实用小技巧（相机跟随两个主角移动）
4. ES6之解构
5. MongoDB的介绍安装与基本使用
6. redis desktop manager安装及连接方式
7. 2018 Petrozavodsk Winter Camp, Yandex Cup
8. Three.js 开发机房（四）
9. 【Offer】[43] 【1~n整数中1出现的次数】
10. Loadrunner 11 的安装