在MyBatis中，`#{}`和${}都是用于实现动态SQL的占位符，但它们在使用场景和安全性上有明显的区别：

1. 用途区别：

   • #{}主要用于传递接口传输过来的具体数据，如参数值，它可以防止SQL注入，因为MyBatis会对#{}中的参数进行预编译处理，将参数值安全地传递给数据库，并且自动转义特殊字符，避免SQL注入攻击。这种方式适用于大多数情况，尤其是当参数值来自用户输入或不可信数据时。例如：  SELECT * FROM users WHERE id = #{userId}

         "#{}"：MyBatis会使用预编译的SQL语句，并为每个参数，设置相应的占位符（通常是"?"），
         
         然后，当执行SQL时，MyBatis会使用 "PreparedStatement 的 setXXX()方法"来设置参数值，
         
         这种方式，可以有效地防止SQL注入攻击，
     
         因为，参数值不会被解析为SQL的一部分。

   • ${}则一般用于传入数据库对象，例如列表和表名，它不会对参数进行预编译处理，而是直接将参数拼接到了原始的SQL里面。这种方式可以适合应用在一些动态SQL场景中，比如动态传递表名、动态设置排序字段等，但由于不会对参数进行特殊处理，存在SQL注入的风险。

     SELECT * FROM users WHERE id = ${userId} 
     相当于 "SELECT * FROM users WHERE id =" + userId

2. 安全性：

   • #{}由于具有更高的安全性，能够防止SQL注入，因此在能够使用#{}的地方应尽量避免使用${}。使用#{}产生的预编译SQL语句可以提高数据库性能，因为数据库可以缓存相同的预编译语句。
   • ${}由于直接拼接原始SQL语句，无法防止SQL注入的问题，因此在需要动态参数的场景中应谨慎使用，确保传入的数据是安全的。

3. 总结：

   • 在实际应用中，应优先考虑使用#{}占位符来传递参数，以避免潜在的安全风险。只有在确实需要动态拼接原始SQL语句的情况下，才考虑使用${}占位符，并确保传入的数据经过适当的验证和过滤。