Hvis du mener, hvordan sikrer du, at brugerinput ikke kan bruges i SQL-injektionsangreb, er måden at gøre dette på (og måden, hvorpå al SQL skal skrives i JDBC) ved at bruge Prepared Statements. JDBC vil automatisk håndtere enhver nødvendig escape.
http://java.sun.com/docs/books /tutorial/jdbc/basics/prepared.html