比如说：

String sql = "select * from clients where logname='"  +  name +  "' and password='"  +  pwd +  "'" ;

SQL中只支持单引号，表示字符串常量

SQL中的双引号用于表示字符串

两个加号是连接字符串

最终生成的SQL是
select * from clients where logname='xxx' and password='yyy';

 

上面的写法存在sql注入漏洞：

select * from clients where logname='xxx' and password='yyy' or 1='1';