springMVC JdbcTemplate 问题

项目用springMVC的JdbcTemplate查询数据库，网页上有些输入框可以让用户直接输入数据表字段和参数的，请问这样有没有SQL注入的危险？
例如：用户在网页上的输入框内填入“a=1 or b=1”，后端获取到这个值就直接拼接在SQL语句中，变成“select * from A where” + “a=1 or b=1”，然后利用JdbcTemplate查询数据库。

sql拼接时为什么用 + 呢，用参数化赋值啊

参数化赋值是什么意思？

String str =获取传过来的字符串
“select * from A where” + str