参考

https://blog.csdn.net/xiaofanren1111/article/details/79470930
https://www.cnblogs.com/200911/p/5869097.html

正文

在mybatis进行sql查询时，如果要用到排序功能，语句应该写成order by ${user_id}而不是order by #{user_id}。因为

• #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。以order by #{user_id}为例，如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id，则解析成的sql为order by “id”。
• $将传入的数据直接显示生成在sql中。以order by ${user_id}为例，如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id，则解析成的sql为order by id。

但是，正因为$会照原样传递参数，所以：

• $方式无法防止Sql注入。
• $方式一般用于传入数据库对象，例如传入表名。
• 一般能用#的就别用$。

而#在底层是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，防止sql注入，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译。

如果坚持要用$，最好对输入的参数进行过滤，只允许白名单内的参数进行查询。