一.创建所需对象，并进行初始化

Connection connection=null;
Statement  statement=null;
PreparedStatement pst;
ResultSet  rs=null;

二.加载mysql驱动

Class.forName("com.mysql.jdbc.Driver");

三.创建链接(url为数据库连接，root帐号，pwd密码)

connection=DriverManager.getConnection(url,root,pwd);

四.创建statement一般创建为预编形的即PreparedStatement，如果使用Statement会引起sql注入攻击，首先是一般的Statement：

statement=connection.createStatement();
String sql="select * from user where username='"+username+"'"+"and password='"+password+"'";
rs=statement.executeQuery(sql);
  if(rs.next()){
         response.getWriter().print("connection is ok");
 }
  else {
 response.getWriter().print("用户名密码错误");
}

五.测试：1.输入正确帐号="张三"，密码=1234;获得效果

2.输入错误帐号=12312，密码=1231234' or '1'='1;获得效果,并将sql语句打印出来

3.总结:这句sql相当与（ select * from user）一般的stament会因为sql拼接的问题，可能会被恶意攻击，攻击者可以无需帐号密码即可登录，可甚至可以删除你的数据库。

六.使用PreparedStatement防止sql注入，增强安全性，而且他比statement的效率更高，因为它是预先编译好的sql语句，使用？来代表参数，通过pst.setString方法将值传入，

第一个参数代表是第几个?的位置（从1开始)，第二个参数代表是参数值。

String sql="select * from user where username=? and password=?";
        pst=connection.prepareStatement(sql);
        pst.setString(1, username);
        pst.setString(2, password);
        System.out.println(pst.toString());
        rs=pst.executeQuery();
if(rs.next())
        {
            response.getWriter().print("connection is ok");
        }
else {
            response.getWriter().print("用户名密码错误");
        }        

七.测试：输入错误帐号=12312，密码=1231234' or '1'='1（sql注入方法能否正常登录）

八.总结,为什么能防止sql，看打印出来的sql语句便可以知道,预编译的语句在执行时会自动转义一些字符，从而防止sql注入