Pointen med udarbejdede udsagn er blandt andet ikke at sammenkæde dine forespørgsler selv.
Du vil gøre følgende:
//first you "prepare" your statement (where the '?' acts as a kind of placeholder)
PreparedStatement st = con.prepareStatement("insert into user (user,age,school,password) values (?,?,?,?);");
//now you bind the data to your parameters
st.setString(1, user);
...
//and then you can execute it
st.executeUpdate()
For flere detaljer se den officielle selvstudie .
Der sker et par ting bag kulisserne, der gør forespørgslen sikker, som at undslippe specialtegn, der ellers ville tillade ændring af sætningen (google SQL-injektioner, hvis du vil vide mere)