#{} : 采用预编译方式,可以防止SQL注入 ${}: 采用直接赋值方式,无法阻止SQL注入攻击 在大多数情况下,我们都是采用#{}读取参数内容.但是在一些特殊的情况下,我们还是需要使用 ${} 读