MyBatis中#{}和${}的作用是什么

在MyBatis中，#{}和${}都是用来表示参数的占位符，但它们之间有一些差异：

#{}是用来表示一个参数占位符，MyBatis会将#{}替换成一个问号(?)，并通过PreparedStatement设置参数来防止SQL注入。#{}可以防止SQL注入攻击，因为参数值会被自动转义。

示例：select * from user where id = #{userId}

${}是用来表示直接替换参数的占位符，MyBatis会将${}替换成参数的实际值，而不是一个问号(?)。使用${}可能会导致SQL注入攻击，因为参数值不会被转义。

示例：select * from user where name = '${userName}'

因此，为了避免SQL注入攻击，推荐使用#{}来表示参数占位符。