#{}与${}的区别: #{}将传入的参数当成一个字符串,会给传入的参数加一个双引号${}将传入的参数直接显示生成在sql中,不会添加引号 #{} 在预处理时,会把参数部分用一个占位符 ? 代替 ${} 则只是简单的字符串替换,在动态解析阶段 #{}能够很大程度上防止sql注入,${}无法防止sql注入