使用 Statement 拼接字符串的方式容易引发 SQL 注入问题。SQL 注入攻击利用了用户输入的数据未经过正确处理直接拼接到 SQL 查询语句中的漏洞。

下面是一个示例代码，展示了使用 Statement 进行查询时可能导致 SQL 注入的情况：

String username = userInput; // 用户输入的值

String sql = "SELECT * FROM users WHERE username = '" + username + "'";
try (Connection conn = DriverManager.getConnection(url, username, password);
     Statement stmt = conn.createStatement();
     ResultSet rs = stmt.executeQuery(sql)) {
    while (rs.next()) {
        // 处理结果集
    }
} catch (SQLException e) {
    e.printStackTrace();
}

在上述示例中，我们将用户输入的username直接拼接到 SQL 语句中。如果用户输入的值包含恶意代码，例如' OR '1'='1，那么最终构造出的 SQL 查询语句就会变成SELECT * FROM users WHERE username = '' OR '1'='1'，这样就会返回所有用户的记录，而不仅仅是匹配的用户名。

为了避免SQL注入问题，使用PreparedStatement来代替Statement进行查询操作。PreparedStatement使用参数化查询，可以预编译 SQL 语句并将参数与语句分离开来，从而有效地防止注入攻击。

记住，始终对用户输入进行适当的验证和处理，以确保输入数据的安全性。

下面是使用 PreparedStatement 的示例代码：

String sql = "SELECT * FROM users WHERE username = ?";
try (Connection conn = DriverManager.getConnection(url, username, password);
     PreparedStatement stmt = conn.prepareStatement(sql)) {
    stmt.setString(1, userInput); // 将用户输入作为参数设置到 PreparedStatement 中

    try (ResultSet rs = stmt.executeQuery()) {
        while (rs.next()) {
            // 处理结果集
        }
    }
} catch (SQLException e) {
    e.printStackTrace();
}

在上述示例中，我们使用?占位符表示需要传递的参数，在执行语句之前，使用setXXX()方法将参数值设置到 PreparedStatement对象中。这样做不仅可以保证数据的正确性，还能够自动处理特殊字符和转义序列，从而有效地防止 SQL 注入攻击。

请注意，以上只是简单的示例代码，具体的实现可能会根据你的应用程序和数据库驱动程序有所不同。但无论如何，使用 PreparedStatement 是一个良好的实践，可以提高安全性和可维护性。