一般来说，我们使用mybatis generator来生成mapper.xml文件时，会生成一些增删改查的文件，这些文件中需要传入一些参数，传参数的时候，我们会注意到，参数的大括号外面，有两种符号，一种是#，一种是$。这两种符号有什么区别呢？

SELECT * FROM employee WHERE name=#{name}SELECT * FROM employee ORDER BY ${salary}

从上面的内容我们可以比较清楚的看到，一般#{}用于传递查询的参数，一般用于从dao层传递一个string或者其他的参数过来，mybatis对这个参数会进行加引号的操作，将参数转变为一个字符串。

比如，这边我们想根据姓名查询某个人的信息，我们会从dao传一个参数，比如jack过来，mybatis生成对应的sql为：

SELECT * FROM employee WHERE name="jack"

而$则不同，我们一般用于ORDER BY的后面。此时mybatis对这个参数不会进行任何的处理，直接生成sql语句。例如，此处我们传入salary作为参数，传入第二个中，此时，mybatis生成的sql语句为：

SELECT * FROM employee ORDER BY salary

可以看到，mybatis对其没有做任何的处理。

但是，我们一般推荐使用的是#{}，不使用${}的原因如下：

• 会引起sql注入，因为${}会直接参与sql编译
• 会影响sql语句的预编译，因为 ${ } 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换

这是一个比较小的知识点，但是也容易为遗忘，所以记录在此。