<update id="updatea" parameterType="com.dcits.model.bjxt.a" >
    update a
    set aabdate = SYSDATE
    where aab001 = #{aab001,jdbcType=VARCHAR}
  </update>

使用Java   在mapper文件中select语句中出现  #{aab001,jdbcType=VARCHAR}      其实是程序中调用这个updatea语句的时候传过来的参数。

#{}是预编译处理，KaTeX parse error: Expected 'EOF', got '#' at position 20: …符串替换。mybatis在处理#̲{}时，会将sql中的#{}替…{}时，就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入，提高系统安全性。

例如：

# 是将传入的值当做字符串的形式，eg:select id,name,age from student where id =#{id},当前端把id值1，传入到后台的时候，就相当于 select id,name,age from student where id =‘1’.

$ 是将传入的数据直接显示生成sql语句，eg:select id,name,age from student where id =${id},当前端把id值1，传入到后台的时候，就相当于 select id,name,age from student where id = 1.

（1）$ 符号一般用来当作占位符，常使用Linux脚本的人应该对此有更深的体会吧。既然是占位符，当然就是被用来替换的。知道了这点就能很容易区分$和#，从而不容易记错了。
（2）预编译的机制。预编译是提前对SQL语句进行预编译，而其后注入的参数将不会再进行SQL编译。我们知道，SQL注入是发生在编译的过程中，因为恶意注入了某些特殊字符，最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。