先说结论：二者肯定是有区别的

区别总结

${ } 直接的 字符串 替换，在mybatis的动态 SQL 解析阶段将会进行变量替换。

#{ } 通过预编译，用占位符的方式?传值可以把一些特殊的字符进行转义，这样可以防止一些sql注入。

举例说明区别

比如：数据库表中id这个字段的内容为123456 or 1=1

1. 因为#{ }接收参数使用了sql预编译，最后拼接的sql会变成：

   select id,app,url,ip,area_name,os,browser from jump_log where id = ?
   

   执行sql时会将参数进行转义，把传入的参数：123456 or 1=1加了单引号’，执行时的sql是：

   select id,app,url,ip,area_name,os,browser from jump_log where id = '123456 or 1=1'
   

2. 通过${ }接收参数之后，最后拼接的sql如下：

   select id,app,url,ip,area_name,os,browser from jump_log where id = 123456 or 1=1
   

   这是典型的sql注入，后面的 or 1=1 会让前面的 id=123456条件失效，相当于整个where条件都失效了，最后sql相当于执行了:

   select id,app,url,ip,area_name,os,browser from jump_log
   

使用场景

在实际使用时，我们需要根据实际场景去选择，如

1. ：数据库的名称需要通过参数统一起来，以便下次修改数据库名时，只有修改一个地方即可，这时便使用${mallDbName}

<select id="selectById" resultMap="JumpLogResult">selectid,app,url,ip,area_name,os,browser from ${mallDbName}.jump_log<where>id = #{id}</where>
</select>