$:sql拼接,相当于jdbc里的statement可能有sql注入危害。但若要传入列名和表名用这个(如排序)。
#:防止sql注入,相当于jdbc里的preparedStatement,解析时会默认加单引号。
