Musisz użyć PreparedStatement np.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Zapobiegnie to atakom iniekcji.
Sposób, w jaki haker to tam umieszcza, jest taki, że wstawiany ciąg pochodzi z jakiegoś wejścia — np. pole wejściowe na stronie internetowej lub pole wejściowe w formularzu w aplikacji lub podobne.
