mybaties自定义sql参数引用有两种#{}和${}。

　　${}将变量原样输出不能防止sql注入。

　　#{}采用PreparedStatement将sql进行了预编译可以防止sql注入。预编译的原理就是将传递进来的变量中的引号用反斜杠（\）转义。在变量外面加上了双引号。

　　表个字段名当作变量的时候是不能加双引号的，所有只能使用${}方式，这个时候就需要自己对参数做一些特殊处理，比如：长度限制，字符限制等。