#{}是经过预编译的，是安全的；

${}是未经过预编译的，仅仅是取变量的值，是非安全的，存在SQL注入。

注：如果order by语句后用了${}，那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常（注入语句一般很长），更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。

‘#’与 ‘$’ 的区别最大在于：#{} 传入值时，sql解析时，参数是带引号的，而 ${}传入值，sql解析时，参数是不带引号的。

一、mybatis中 $与#

在mybatis中的$与#都是在sql中动态的传入参数。

eg:select id,name,age from student where name=#{name}  这个name是动态的，可变的。当你传入什么样的值，就会根据你传入的值执行sql语句。

二、使用$与#

#{}: 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符，一个 #{ } 被解析为一个参数占位符 。

${}: 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换。

select id,name,age from student where name=#{name}   -- name='cy'  
select id,name,age from student where name=${name}   -- name=cy

三、Mabatis中模糊查询防止sql注入

#{xxx}，使用的是PreparedStatement，会有类型转换，所以比较安全；

${xxx}，使用字符串拼接，可以SQL注入；

但like查询会有漏洞，正确写法如下：

Mysql:

select * from user where name like concat('%', #{name}, '%')   

Oracle:

select * from user where name like '%' || #{name} || '%' 

SQLServer:

select * from user where name like '%' + #{name} + '%'  

四、不得不使用$的情况

但是如果使用在order by 、group by中就需要使用 $.

五、防止SQL注入的要点

• 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
• 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
• 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
• 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
• 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。
• sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOF SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。