用PreparedStatement的问号可以防止sql注入

而且用问号那种形式只能用PreparedStatement

而Statement是用'"++"'这种形式的

sql = "SELECT username FROM dzjc_yhmc WHERE username=? and pwd=?" ;
  try
  {   
   pstmt = dbc.getConnection().prepareStatement(sql) ;

   // 设置pstmt的内容，是按ID和密码验证
   pstmt.setString(1,ulf.getUserName()) ;
   pstmt.setString(2,ulf.getPassWord()) ;