Użyj PreparedStatement . W ten sposób wyznaczasz symbol zastępczy, a sterownik JDBC wykona to poprawnie, wysyłając do bazy danych instrukcję wraz z parametrami jako argumentami.
String updateStatement =
"update " + dbName + ".COFFEES " +
"set TOTAL = TOTAL + ? " +
"where COF_NAME = ?";
PreparedStatement updateTotal = con.prepareStatement(updateStatement);
updateTotal.setInt(1, e.getValue().intValue());
updateTotal.setString(2, e.getKey());
Znaki zapytania powyżej reprezentują symbole zastępcze.
Ponieważ wartości te są przekazywane jako parametry, nie masz problemów z cytowaniem i chroni Cię przed SQL wtrysk też.
