#{}:使用 #{} 格式的语法会导致 MyBatis 创建 PreparedStatement 参数占位符并安全地设置参数(就像使用 ? 一样)
${}:使用 ${} 会在sql语句中插入一个不转义的语句,简单的进行文本替换。
#{} 能够有效的防止SQL注入的风险,${}也有重要的使用场景,如order by ${name}
