SQL注入的问题在于，用户输入被用作SQL语句的一部分。通过使用准备好的语句，您可以强制将用户输入作为参数的内容（而不是SQL命令的一部分）进行处理。

但是，如果您不使用用户输入作为已准备好的语句的参数，而是通过将字符串连接在一起来构建SQL命令，那么即使使用已准备好的语句，您仍然容易受到SQL注入的攻击。

考虑做同一件事的两种方法：

PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();

要么

PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();

如果“用户”来自用户输入，并且用户输入为

Robert'); DROP TABLE students; --

然后在第一个实例中，您将被迫接管。第二，为了安全起见，Little Bobby Tables将为您的学校注册。