使用'$userId$'很有可能造成SQL注入问题,因为原理是替换里面的内容。 而使用#userId#则不会出现问题,这种方式是预编译,和JDBC中的PreparedStatem差不多,可以避免SQL注入问题。