我们说MyBatis有两种注入参数的方式, – 一种是#{} – 另一种是${} 这两种从使用功能来看差距不大,那为什么会强推使用#? ${}使用的是拼接字符串,#{}使用的是占位符的方法,经过了处理,故#{}可以更好的抵挡sql攻击 在Mybatis的使用中,如果用${}注入字符串,需要在两边用单引号包裹,而使用#则将有后期处理,不需要用单引号包裹