Dacă încercați să împiedicați injectarea SQL, ar fi mai bine să utilizați caracteristicile construite în JDBC, cum ar fi declarațiile pregătite. În general, folosirea concatenării șir pentru a forma instrucțiunea SQL este periculoasă. Din Prevenirea injectării SQL în Java :
Prepared Statements:
String selectStatement = "SELECT * FROM User WHERE userId = ? ";
PreparedStatement prepStmt = con.prepareStatement(selectStatement);
prepStmt.setString(1, userId);
ResultSet rs = prepStmt.executeQuery();