#{}：1.传入的参数在SQL中显示为字符串。2.方式能够很大程度防止sql注入

${}：1.传入的参数在sql中直接显示为传入的值。2.方式无法防止Sql注入。

${} 必须要使用的场景：比如做一些底层开发关于连接数据库的，你需要查询锁定哪张表

select * from ${t_table}; 

1、使用#{}

Mybatis在对#{}进行预处理时，会把#{}处理成占位符，实际执行的时候才会把参数替换进去，相当于jdbc的PreparedStatement。

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name = #{name}
</select>

上面这个配置实际打印出来的sql为

select * from user where name = ?

这就告诉 MyBatis 创建一个预处理语句（PreparedStatement）参数，在 JDBC 中，这样的一个参数在 SQL 中会由一个“?”来标识，并被传递到一个新的预处理语句中，就像这样：

// 近似的 JDBC 代码，非 MyBatis 代码...
String selectPerson = "select * from user where name = ?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setString(1,name);

这样有效的预防了sql注入。

2、使用${}

<select id="select" parameterType="java.lang.String" resultType="baseMap">
    select * from user where name=${name}
</select>

上面这个配置实际打印出来的sql为

select * from user where name = name

// 近似的 JDBC 代码，非 MyBatis 代码...
String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);

${} 则只是简单的字符串替换，在动态解析阶段，该 sql 语句会直接将变量值替换进去，这样就有可能会发生sql注入的风险。 

3、$和#区别

1、#{}是一个占位符，${}只是普通传值

2、#{}在使用时，会根据传递进来的值来选择是否加上双引号，因此我们传递参数时一般都是直接传递，不用加双引号；${}则不会，我们需要手动加

3、在传递一个参数时，我们在#{}中可以写任意值

4、#{}针对SQL注入进行了字符过滤，${}则只是作为普通传值，并没有考虑到这些问题

5、#{}的应用场景是为给SQL语句的where字句传递条件；${}的应用场景是为了传递一些需要参与SQL语句语法生成的值