MySQL參數替換是一種非常實用的技術，它可以幫助開發者在編寫SQL語句時，動態地替換參數，從而避免SQL注入和提高應用程序的性能。

SELECT * FROM users WHERE username = ?

如上面的SQL語句所示，我們使用了參數占位符“？”來代替實際的變量。當我們執行這條SQL語句時，我們可以向參數列表中傳遞實際的參數值。

PreparedStatement ps = conn.prepareStatement("SELECT * FROM users WHERE username = ?");
ps.setString(1, "admin");

上面的Java代碼演示如何使用PreparedStatement對象設置參數值。在設置參數時，我們使用了“1”作為參數的序列號，因為在SQL語句中，參數的序列號從1開始。

使用參數替換可以避免SQL注入攻擊，原因是所有的輸入參數都被當做數據而非SQL語句的一部分處理。當我們使用字符串拼接等方式構建SQL語句時，惡意攻擊者可能會通過輸入惡意的SQL語句來攻擊我們的應用程序。

使用參數替換還可以提高應用程序的性能，因為當我們使用帶有參數的SQL語句時，MySQL會緩存這些語句的執行計劃，并在執行時直接使用緩存的執行計劃，從而避免了重復編譯SQL語句的開銷。