#{ }可以防止Sql 注入,它会将所有传入的参数作为一个字符串来处理。$ {} 则将传入的参数拼接到Sql上去执行,一般用于表名和字段名参数,$ 所对应的参数应该由服务器端提供,前端可以用参数进行选择,避免 Sql 注入的风险