对 于 JDBC而言， SQL注入 攻 击 只 对 Statement有效， 对 PreparedStatement 是无效的， 这 是因 为 PreparedStatement 不允 许 在不同的插入 时间 改 变查询 的 逻辑结 构。  
如 验证 用 户 是否存在的 SQL语 句 为 ：  
select count(*) from usertable where name='用 户 名 ' and pswd='密 码 '
如果在 用 户 名字段 中 输 入 ' or '1'='1' or '1'='1
或是在 密 码 字段 中 输 入 1' or '1'='1
将 绕过验证 ，但 这种 手段只 对 只 对 Statement有效， 对 PreparedStatement 无效。  
PreparedStatement 相 对 Statement有以下 优 点：  
1.防注入攻击  
2.多次运行速度快  
3.防止数据库缓冲区溢出  
4.代 码 的可读性可维护性好

------------------------参数过滤器----------------------------

2-6里面讲了类似参数过滤器的概念

DAO类：

StringBuilder sb = new StringBuilder();

sb.append(" select * from goddess where 1=1");

sb.append(" and "+map.get("name")+" "+map.get("rela")+" "+map.get("value"));

【注释：该语句为 查询什么（name）,关系是什么（rela）,值是什么（value）】

PreparedStatement ptmt = conn.prepareStatement(sb.toString());

-------------

ACTION类:

param.put("name", "user_name");

param.put("rela", "=");

param.put("value", "'小美'");

params.add(param);

List<Goddess> result = g.query(params);

不好意思，你指的是sql语句中有占位符？的那种，这个我知道，但在JDBC之对面的女孩看过来2-6中，并没有用到占位符？，而是把参数直接拼装到了sql语句，所以有此疑问，如果要添加个参数过滤器，又该怎么添加

StringBuilder 拼接成sql语句 然后预处理时候传参，将StringBuilder的字符串参数传入就可以了