如果name,password是字符类型的。rs=statement.executeQuery("SELECT Name,PassWord,Position FROM names where Name='"+UserName+"' and PassWord='"+UserPassWord + "'");在这之前你最好判断,UserName UserPassWord两个变量中有没有"'"
如果有,替换成\'
如果有,替换成\'
如果是mysql,替换成\'
mssql替换成''
其它的,看手册把,我不知道了