使用prepareStatement,可以避免SQL注入。
SQL语句可以修改为:select * from users where user_name = :username and password = :password.