1. #{value}將傳入的數據都當成一個字符串，會對自動傳入的數據加一個雙引號。
2. ${value}將傳入的數據直接顯示生成在sql中。
3. #{value}方式能夠很大程度防止sql注入。　
4.${value}方式無法防止Sql注入。
5.${value}方式一般用于傳入數據庫對象，例如傳入表名.
6.一般能用#{value}的就別用${value}.
MyBatis排序時使用order by 動態參數時需要注意，用${value}而不是#{value}
字符串替換
默認情況下，使用#{value}格式的語法會導致MyBatis創建預處理語句屬性并以它為背景設置安全的值。這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。

重要：接受從用戶輸出的內容并提供給語句中不變的字符串，這樣做是不安全的。這會導致潛在的SQL注入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義并檢查。