将不带参数的查询传递给PreparedStatement是否安全？

将不带参数的查询传递给PreparedStatement是不安全的。

PreparedStatement是一种预编译的SQL语句对象，用于执行动态SQL查询。它通过参数绑定的方式，将用户输入的数据安全地传递给数据库，防止SQL注入攻击。

当使用不带参数的查询传递给PreparedStatement时，查询字符串中的变量部分被直接拼接到SQL语句中，这会导致潜在的安全风险。恶意用户可以通过构造恶意输入，将恶意代码注入到查询字符串中，从而执行任意的SQL语句，甚至获取、修改、删除数据库中的数据。

为了解决这个安全问题，应该始终使用带参数的查询方式。通过将变量部分用占位符代替，然后使用setParameter()方法将实际的值绑定到占位符上，可以保证输入数据的安全性。

以下是使用PreparedStatement的示例代码：

String query = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement statement = connection.prepareStatement(query);
statement.setString(1, username); // 绑定第一个参数
statement.setString(2, password); // 绑定第二个参数
ResultSet resultSet = statement.executeQuery();

在这个示例中，我们使用了两个占位符代替了用户名和密码的变量部分，并使用setString()方法绑定实际的值，从而确保了查询的安全性。

对于腾讯云的相关产品，可以使用云数据库MySQL、云数据库MariaDB、云数据库SQL Server等来进行安全的数据库存储和查询操作。具体产品介绍和链接地址请参考腾讯云官方文档。

注意：为了确保安全，请合理使用云计算资源，遵循相关法律法规，以及遵守云服务商的使用规范和最佳实践。