Du skal bruge PreparedStatement f.eks.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Dette vil forhindre injektionsangreb.
Måden hackeren sætter det ind der er, hvis den String, du indsætter, er kommet fra input et eller andet sted – f.eks. et inputfelt på en webside, eller et inputfelt på en formular i en ansøgning eller lignende.