摘要： 1. ${} 是直接进行替换，原样输出，不安全；2. #{}作为字符串进行替换，能够预编译，有效防止sql注入！所以CONCAT(CONCAT('%', #{param}), '%')可以等同于'%${param}%' 阅读全文