SQL注入的问题：

问题描述：在利用sql语句进行查询的时候，如果我们按照传入的某个参数进行查询，例如

当执行 read("' or 1 or '")；时，相应的查询语句变为了 select id,name,money,birthday from user where name='' or 1or '';导致查询结果出错(or 1表示 当name为ture即存在时就满足条件)，此时出现sql注入出错的问题。为此引入prepareStatement();

prepareStatement()写法：

String sql = "select id, name, money, birthday  from user where name=?";
ps = conn.prepareStatement(sql); 
ps.setString(1, name);  //1代表第一个？的位置，将其替换成name变量
// 4.执行语句
rs = ps.executeQuery(); //此处不需要sql变量(对比statement),否则编译不会报错，运行报错(加sql变量代表的时statement类的函数，会将带有？的语句直                           接传入)

PreperedStatement（从Statement扩展而来）相对Statement的优点：

  1.没有SQL注入的问题。

  2.Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢出。

  3.数据库和驱动可以对PreperedStatement进行优化（只有在相关联的数据库连接没有关闭的情况下有效）。 

因此：提倡用prepareStatement,特别是有字符串作为参数进行数据库操作的时候