#{…}是一个参数标记，将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：order by #user_id#，如果传入的值是1,那么解析成sql时的值为order by "1", 如果传入的值是id，则解析成的sql为order by "id".

而${…}只是简单的字符串替换。$方式一般用于传入数据库对象，例如传入表名.

比如#{}打印出来的语句 select * from table where id=?,然而${} 则是不能防止SQL注入打印出来的语句 select * from table where id=2 实实在在的参数

一般而言，为避免SQL注入攻击，传递参数应使用#{…}方式，因为这样MyBatis会处理好特殊字符转义的问题

而对于诸如表名、字段名（如order by子句后的排序字段）这些表本身或其字段的名字，和SQL关键字（如order by子句后的asc关键字），是不能使用#{…}方式的，而只能使用字符串替换的${…}方式

mybatis 中#和$的区别