jsp开发mysql的WHERE条件语句查询问题

<%@ page contentType="text/html;charset=gb2312"%>
<%@ page import="java.sql.*"%><%!
//驱动程序名
public static final String driverName="org.gjt.mm.mysql.Driver";
//联结字符串
public static final String url="jdbc:mysql://localhost:3306/tuser?user=root&password=admin&useUnicode=true&characterEncoding=GB2312";
%>
<%
Connection conn = null ;
PreparedStatement pstmt = null ;
ResultSet rs = null ;
boolean flag = false ; // 表示登陆成功或失败的标记
%>
<%
String userid = request.getParameter("userid") ; // 接收表单参数
String password = request.getParameter("password") ; // 接收表单参数
try{
Class.forName(driverName).newInstance();
conn = DriverManager.getConnection(url) ;
Statement statement = conn.createStatement(ResultSet.TYPE_SCROLL_SENSITIVE,ResultSet.CONCUR_UPDATABLE);
String sql = "SELECT id,name FROM person WHERE 。。";
rs = statement.executeQuery(sql) ;
while(rs.next()){
out.println("true");
//flag = true ;
}
}catch(Exception e){
}finally{
try{
conn.close() ; // 连接一关闭，所有的操作都将关闭
}catch(Exception e){}
}
%>
前一个htm静态页面想这个页面传递两个参数，id和password，对数据库进行查询，
WHERE后面的语句该怎么写啊？求指教！

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

String sql = "SELECT id,name FROM person WHERE userid=" + userid + " AND password='" + password + "'";
最好不要用sql拼接，这样会引起sql注入攻击。
用下面的语法吧String sql = "SELECT id,name FROM person WHERE userid=? AND password=?" ;
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1,userid);
ps.setString(2,password);
ResultSet rs = ps.executeQuery();
.......