1. ${} 是直接进行替换，原样输出，不安全；

2. #{}作为字符串进行替换，能够预编译，有效防止sql注入！

所以CONCAT(CONCAT('%', #{param}), '%')可以等同于'%${param}%'