String sql="selcet * from  user  where  username = ?  and  password = ? " ;
ps = conn.prepareStatement(sql);
ps.setString(1,username);
ps.setString(2,password);
// ShowMessage(sql)  /// 你会发现你的 SQL 是有问题的!!
rs=ps.executeQuery(sql);