Използвайте PreparedStatement . По този начин вие номинирате заместител и JDBC драйверът ще изпълни това правилно, като изпрати на базата данни оператора, плюс параметрите като аргументи.
String updateStatement =
"update " + dbName + ".COFFEES " +
"set TOTAL = TOTAL + ? " +
"where COF_NAME = ?";
PreparedStatement updateTotal = con.prepareStatement(updateStatement);
updateTotal.setInt(1, e.getValue().intValue());
updateTotal.setString(2, e.getKey());
Въпросителните знаци в горното представляват запазените места.
Тъй като тези стойности се предават като параметри, нямате проблеми с цитирането и това ви предпазва от SQL инжекция също.