对 于 JDBC而言， SQL注入 攻 击 只 对 Statement有效， 对 PreparedStatement 是无效的， 这 是因 为 PreparedStatement 不允 许 在不同的插入 时间 改 变查询 的 逻辑结 构。  
如 验证 用 户 是否存在的 SQL语 句 为 ：  
select count(*) from usertable where name='用 户 名 ' and pswd='密 码 '
如果在 用 户 名字段 中 输 入 ' or '1'='1' or '1'='1
或是在 密 码 字段 中 输 入 1' or '1'='1
将 绕过验证 ，但 这种 手段只 对 只 对 Statement有效， 对 PreparedStatement 无效。  
PreparedStatement 相 对 Statement有以下 优 点：  
1.防注入攻击  
2.多次运行速度快  
3.防止数据库缓冲区溢出  
4.代 码 的可读性可维护性好

这里不会产生SQL注入，这里的where 1=1永远成立，而你担心的SQL注入问题是where后面紧跟传入的参数或语句，而这里并没有授予传参的权利而是直接写死1=1。

不会的