Brug PreparedStatement . På den måde udpeger du en pladsholder, og JDBC-driveren vil udføre dette korrekt ved at sende sætningen til databasen plus parametrene som argumenter.
String updateStatement =
"update " + dbName + ".COFFEES " +
"set TOTAL = TOTAL + ? " +
"where COF_NAME = ?";
PreparedStatement updateTotal = con.prepareStatement(updateStatement);
updateTotal.setInt(1, e.getValue().intValue());
updateTotal.setString(2, e.getKey());
Spørgsmålstegnet i ovenstående repræsenterer pladsholderne.
Fordi disse værdier sendes som parametre, har du ikke problemer med at citere, og det beskytter dig mod SQL injektion også.