mybatis中#与$占位符有什么区别？不都是把占位符替换为目标参数了吗？为什么#能防止SQL注入？

在MyBatis中，#{}和${}都是占位符，但在使用时有一些区别。

1. #{}是预编译的占位符，用于替换变量或参数，它会将传入的值安全地替换到SQL语句中，防止SQL注入。#{}会将传入的值进行转义处理，将特殊字符转换为安全的字符串。这样可以确保传入的参数不会被解析为SQL语句的一部分，保证了SQL的安全性。

2. ${}是字符串拼接的占位符，直接将传入的值替换到SQL语句中，不会进行转义处理。这种方式存在SQL注入的风险，因为传入的参数会直接嵌入到SQL语句中，如果不进行参数校验和转义处理，恶意用户可以通过构造恶意参数来修改原始SQL语句的逻辑。

综上所述，#{}是推荐的占位符写法，可以确保SQL的安全性，而${}存在SQL注入的风险，需要谨慎使用，并且需要自行对传入的参数进行校验和转义处理。