1. ${} 是直接进行替换,原样输出,不安全;
2. #{}作为字符串进行替换,能够预编译,有效防止sql注入!
所以CONCAT(CONCAT('%', #{param}), '%')可以等同于'%${param}%'
