Modifica tu código a
static public ResultSet getData(String sql, String username, String password)
throws ClassNotFoundException, SQLException {
PreparedStatement pst = con.prepareStatement(sql);
pst.setString(1, username);
pst.setString(2, password);
ResultSet rs = pst.executeQuery();
return rs;
}
establecer el objeto modelo en el parámetro de la declaración preparada no tiene sentido.
Cómo proteger su base de datos MySQL y MariaDB contra ataques cibernéticos cuando está en una red pública
Actualización de MariaDB 10.0 a 10.3.9 en Ubuntu 16.04
¿El permiso de actualización de MYSQL también necesita seleccionar el permiso?
Cómo agregar una columna de identidad a la tabla mediante TSQL y GUI en SQL Server - Tutorial de SQL Server/T-SQL, parte 40