preState.setString(2, password);

　　ResultSet rs = preState.executeQuery();

　　...

　　第二种是采用正则表达式将包含有 单引号(')，分号(;) 和 注释符号(--)的语句给替换掉来防止SQL注入

　　public static String TransactSQLInjection(String str)

　　{

　　return str.replaceAll(".*([';]+|(--)+).*", " ");

　　}

　　userName=TransactSQLInjection(userName);

　　password=TransactSQLInjection(password);

　　String sql="select * from users where username='"+userName+"' and password='"+password+"' "

　　Statement sta = conn.createStatement();

　　ResultSet rs = sta.executeQuery(sql);

　　...

　　这个东西很简单，也很常见，方法还有很多，如果您有好的方法希望贴出来，大家一起学习学习