PreparedStatement对SQL进行了预编译,屏蔽了sql关键字,因此当传入的参数包含有sql关键字时PreparedStatement就会把这些关键字认为是否非法的,从而起到防止sql注入的目的
