在使用mybatis时，传参是非常常见的，但是这次突然发现踩坑了，特此记录一下。

#{}采用的是jdbc的preparestatement()方法，用？代替参数把参数用''预处理后传入，能有效防止sql注入。${}采用的是直接把参数传入，不会对参数进行预处理。
一般我都直接使用#{}就行，这次有一个需求需要拼接表名，类似于：
select research_type,id,q17,q20,q25 from ${table} where 'id'=${id}
如果这种情况还使用#{}的话，mybatis会将sql语句转换为：
select research_type,id,q17,q20,q25 from 'table' where 'id'=${id}
这种情况就会报syntax error语法错误。

总结一下就是如果传入的参数是表的字段时，则需要使用${}。如果传入的是普通值的话直接使用#{}，还能防止sql注入。