1. ${} 是直接进行替换,原样输出,不安全; 2. #{}作为字符串进行替换,能够预编译,有效防止sql注入! 所以CONCAT(CONCAT('%', #{param}), '%')可以等同于'%${param}%'