是什么？

Mybatis中的#{}和${}都可以把传入的参数拼到SQL中。
#{}是预编译处理、是占位符， ${}是字符串替换、是拼接符。

核心思想是：确保sql语句中 String型参数 的最外层由单引号包裹；特殊字符普通化。

为什么？

• Mybatis在处理#{}时，会将sql中的#{}替换为?号，调用PreparedStatement的set方法来赋值；
• Mybatis 在处理${}时， 就是把${}替换成变量的值，调? Statement 来赋值

看看PreparedStatement和Statement的区别：

PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句，并对参数中的特殊字符进行转义，使用StringBuild对象来容纳sql语句的每个字符，最后再把StringBuild对象转String。

• Statement用于执行静态sql语句，在执行时，必须指定一个事先准备好的sql语句，直接交给数据库执行。

SQL="select * from user where username = ‘ " + username + " ‘ ";
username=hello‘; delete from user where id=‘1
最终的Sql就是
  SQL="select * from user where username = ‘ hello‘; delete from user where id=‘1 ‘";

• PrepareStatement是预编译的sql语句对象，sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作，语句中可以包含动态参数“?”，在执行时可以为“?”动态设置参数值。

select * from user where name = #{name} and password = #{password} 将转为
select * from user where name = ‘zhouyu‘ and password = ‘1 or 1=1‘

注意：SQL中的字符串使用单引号表示！

• 使用PrepareStatement对象执行sql时，sql被交给数据库进行解析和编译，然后被放到命令缓冲区，每当执行同一个PrepareStatement对象时，它就会被解析一次，但不会被再次编译。而statement则是每次都要从0开始。
  此时参数只能填充，而不会作为SQL的一部分。
  在缓冲区可以发现预编译的命令，并且可以重用。

怎么用？

• 在实际项目中如果能够使用preparestatement还是建议使用preparestatement
• 单条数据statement更快
• 批处理时PrepareStatement可以减少编译次数提高数据库性能。
• 安全性上来说更要使用PrepareStatement，也就是#{}

原文：https://www.cnblogs.com/Deng-23-binb/p/15202270.html