${} 字符串替换,直接将传入的值作为参数拼接到sql上常见使用:对表名的和分组,排序字段的映射可能会导致SQL注入问题: 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 #{} MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,将传入的参数变为一个字符串来进行拼接常见使用:对dao层的where条件映射或参数拼接