#{}

#{}：对语句进行预编译，此语句解析的是占位符?，可以防止SQL注入，比如打印出来的语句 select * from table where id=?，预编译之后会变成select * from table where id = "1 or 1 = 1"。给注入信息加上了引号，替换掉了，所以可以防止注入。

类比：Java中的PreparedStatement
预编译：预编译是做些代码文本的替换工作。是整个编译过程的最先做的工作。

例如，C语言的宏定义#define pi 3.14，就是把对应的变量单纯的替换掉了。
我们这里的Java预编译，也就是把字符串本应该去掉的双引号("")，给原封不动得带上，单纯的替换掉了，不改变双引号。
比如，第一个占位符设置的是"Nemo"，那这个占位符就原封不动得把"Nemo"(带上双引号) 给单纯的替换掉。这样可以防止注入，导致我们sql语句的结构被改变。

${}

${}：则是不能防止SQL注入打印出来的语句 select * from table where id=2 实实在在的参数拼接而成，可能会被注入select * from table where id = 1 or 1 = 1。

类比：Java中的Statement

%{}

%{}：用在ognl表达式中是保证'{' 和 '}'之间的内容是OGNL表达式取值方式的

ognl表达式即对象导航图语言，用点来代替getset方法的调用，如配置文件properties中的. 。
如setName 我们可以使用.name
相当于oc中的点方法