sql注入漏洞 为什么有 怎么解决

package com.qf.zzh;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java.util.Map;import java.util.Scanner;public class UserLogin {/**sql注入漏洞  为什么有   怎么解决 * @param args * @throws SQLException  */public static void main(String[] args) throws SQLException {// TODO Auto-generated method stubScanner input = new Scanner(System.in);System.out.println("请输入用户名");String user = input.nextLine();System.out.println("请输入密码");String password = input.nextLine();// 如果sql语句没有经过 预编译 或者其他处理 那么 就会 有注解漏洞// 例如:这一句话 在sql中显示就是:// select * from user where username='zhangsan' and password='123' or// '1=1'// 这句话就恒真   所以  无论你是谁 都会 显示登录成功  所以有sql注入漏洞// String password = "123' or '1=1";// String sql = "select * from user where username='" + user// + "' and password='" + password + "'";// List<Map<Object, Object>> list = DatabaseTools.selectDataBases(sql);// if (list != null && list.size() > 0) {// System.out.println("登录成功");// } else {// System.out.println("用户名或者密码错误！");// }// 第一种改进方式 就是 用户名输入进去了 就 把对应的密码取出来 然后 用取出来的密码 和 输入的密码比较如果相同// 那么就表明是登陆成功 就避免了用sql的恒真性判断是否存在了// User use = new// DatabaseTools<User>(User.class).getBean("username='"+user+"'");// if(use!=null&&password!=null&&use.getPassword().equals(password)){// System.out.println("登录成功");// }else{// System.out.println("用户名/密码错误");// }// 第二种方式// 预编译的sql语句   就是把user和password分别看成一个整体  不可再分String sql="select * from user where username=? and password=?";Connection conn = DatabaseTools.getConnect();//这种方式  常见sql对象是 就需要 传入sql语句PreparedStatement ps =conn.prepareStatement(sql);//对sql语句进行预编译ps.setString(1,user);ps.setString(2,password);ResultSet rs = ps.executeQuery();if(rs.next()){System.out.println("登录成功");}else{System.out.println("用户名/密码错误");}}}