我们都知道在mybatis中,使用#{}可以防止sql注入攻击。那为什么还需要${}存在呢? $ {}的存在当然有他的原因,比如我们在以下2种情况时,需要使用$ {}: 通过param传入的是数据库表名或者字段名时order by的字段时通过param传入时