对于一条简单的sql语句，例如：

Ibatis会把sql预编译为

接着会把传入的值进行填充，类似于 jdbc 的 preparestatment 的形式。
之前的sql是简单的形式，加入需要用到模糊查询的like就比较麻烦，而且可能会出现sql注入的情况。
假如需要查询用户名中带"sa"的用户，可能会这样来写 sql

但是在ibatis的xml中不能这样写，如果写成

有个很简单的办法，就是写成

的样子，$符号会把参数原样嵌入sql语句中而不进行预编译，这就使得有可能出现sql注入攻击。其实ibatis从根本上简单的说，凡是#的，都作为参数，用setobject方式预编译。而$方式的，则直接替换字符串。 所以说，$很不安全，会把用户的输入直接当参数放入 sql。

结论：最好不要用like来进行查询，1是因为效率低，2是因为在ibatis里使用是相当麻烦的，可读性很差，如果真的要用，不要使用$，而是使用#的like拼凑形式：

--转自