在 MyBatis 中，#{} 和 ${} 都是用来在 SQL 语句中插入动态参数的，但是它们之间存在重要的区别：
#{} 的特点：

• 预编译处理：当使用 #{} 时，MyBatis 会将 SQL 语句中的参数占位符转换为预编译语句 (PreparedStatement) 中的参数标记 ?。这意味着参数的实际值是在 SQL 执行时被设置的，而不是在 SQL 字符串构建时直接插入。
• 防止 SQL 注入：由于 #{} 使用预编译语句，它可以有效地防止 SQL 注入攻击，因为参数值会被正确地转义，并且不会与 SQL 语法混淆。
• 类型安全：#{} 支持类型处理，MyBatis 会根据提供的 Java 类型自动进行类型转换。
• 自动转义特殊字符：对于字符串类型的参数，#{} 会自动转义特殊字符，如单引号 ' 或者反斜杠 \。

${} 的特点：

• 文本替换：当使用 ${} 时，MyBatis 会将 SQL 语句中的参数占位符直接替换为实际的字符串值。这种替换发生在 SQL 字符串构建时。
• 可能导致 SQL 注入：由于 ${} 不使用预编译语句，而是直接将参数值拼接到 SQL 语句中，如果参数值没有经过适当的清理或验证，就有可能导致 SQL 注入。
• 适用于动态 SQL：通常情况下，${} 用于需要动态构建 SQL 的情况，如动态指定表名或者列名等，但即便如此，也必须确保参数值是安全的。

示例对比：
假设有一个 SQL 查询语句，它根据用户输入的 username 查找用户信息：
使用 #{}：

SELECT * FROM users WHERE username = #{username}

最终生成的 SQL 语句类似于：

SELECT * FROM users WHERE username = ?

并且 username 的值会通过 PreparedStatement 设置。
使用 ${}：

SELECT * FROM users WHERE username = ${username}

如果 username 的值是 "admin' OR '1'='1"，那么最终的 SQL 语句将是：

SELECT * FROM users WHERE username = admin' OR '1'='1

这将导致 SQL 注入。
总结：
在大多数情况下，应该优先使用 #{} 来防止 SQL 注入，并且只有在确信参数值不会引起安全问题时才使用 ${}。