将变量值插入sql的最常用方法是使用preparedstatement对象
使用此对象，您可以将变量值添加到sql查询中，而不用担心sql注入。以下是preparedstatement的示例：

//[Connection initialized before]
String insertStr="INSERT INTO  table1(username1,password1) VALUES(?,?);";
PreparedStatement myInsert = myConnectionVariable.prepareStatement(insertStr); // Your db will prepare this sql query
myInsert.setString(1, a); //depending on type you want to insert , you have to specify the position of your argument inserted (starting at 1)
myInsert.setString(2, b); // Here we set the 2nd '?' with your String b
myInsert.executeUpdate(); // It will returns the number of affected row (Works for UPDATE,INSERT,DELETE,etc...)
//You can use executeQuery() function of PreparedStatement for your SELECT queries

这比像这样使用字符串串联更安全： VALUES("+a+","+b+"); 有关更多信息，请参阅javadoc；）

使用 PreparedStatement 而不是您的方式，因为您的方式可能是sql注入或语法错误的受害者：

String insertStr = "INSERT INTO  table1(username1,password1) VALUES(?, ?)";
try (PreparedStatement pst = con.prepareStatement(insertStr);) {
    pst.setString(1, a);
    pst.setString(2, b);
    pst.executeUpdate();
}

出于安全考虑，我不建议使用 getText() ，而不是使用 getPassword() ，因此您可以使用：

pst.setString(1, username.getText());
pst.setString(2, new String(passwordField.getPassword()));

看看这个：
gettext（）与getpassword（）
为什么不推荐使用jpasswordfield中的gettext（）？

因为您将“a”和“b”作为字符串插入，而不是它们的变量值。

String insertStr="INSERT INTO  table1(username1,password1) VALUES("+a+","+b+");";

应该这样做，但我建议在这里使用一个事先准备好的声明：https://docs.oracle.com/javase/tutorial/jdbc/basics/prepared.html