Mybatis中的#{}与${}区别以及什么是SQL注入

今天搞懂了一个问题，就是在使用Mybatis时#{}与${}到底有什么区别？原来也看过别人的博客，感觉总是迷迷糊糊（原谅我是菜鸟），今天把这个问题整理了一遍，水平有限，各位大佬如果发现错误的地方请指正

1，首先Mybatis中的#{}与${}到底有什么区别？

其实，区别就是如果使用#{}，会将{}里面的传入的值自动解析成为带引号的值，比如：

select count(1) from t_user where user_name = #{userName} and user_password  = #{userPassword}

假如，此时传入userName传入的值为admin，userPassword传入的值为123456，那么最后的sql就是：

select count(1) from t_user where user_name = 'admin' and user_password  = '123456';

会解析成字符串，而${}就会这样解析：

select count(1) from t_user where user_name = admin and user_password  = 123456;

显然，这是一个错误的sql语句，那么，什么叫SQL注入呢？为什么#{}可以有效的防止sql注入呢？

2，什么是SQL注入？

SQL注入就是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作

比如说，在登录过程中，利用上面的语句到数据库中查找用户名/密码是否存在，如果存在就登录成功

而如果不存在就登录失败，如果说你后台使用的是${}，恶意用户在表单中的用户名文本框中输入的是'admin'

密码框中输入的是' ' or 1 = 1 加了一引号和一个恒成立的条件，那么，传到数据库中的sql就是：

select count(1) from t_user where user_name = 'admin' and user_password = ' ' or 1=1

如果程序没有做其他的校验，此时，该恶意用户是可以登录系统的！ 这就是SQL注入，恶意攻击

而如果使用#{}是不会出现这种情况的，#{}默认会给输入的值加上引号，但是使用#{}在其他场景下并不适用

比如要使用到排序 order by #{} 传入的参数应是表对应字段名，但是加上引号后就会解析成

order by 'age' 这样就达不到排序的目的，而此时如果使用${}就可以达到排序的目的

即，sql解析成 order by age,根据age排序

只是了解皮毛，欢迎大佬们指教！