1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
2、$将传入的数据直接显示生成在sql中
3、#方式能够很大程度防止sql注入
4、$方式无法防止Sql注入
5、$方式一般用于传入数据库对象,例如传入表名、字段名。MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
6、一般能用#的就别用$
7、所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。