使用 ${} 相当于使用字符串拼接,存在 SQL 注入的风险。
${}
使用 #{} 相当于使用占位符,可以防止 SQL 注入,不支持使用占位符的地方就只能使用 ${} ,典型情况就是动态参数。
#{}
