Трябва да използвате PreparedStatement напр.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Това ще предотврати инжекционни атаки.
Начинът, по който хакерът го поставя там, е ако низът, който вмъквате, е дошъл от някъде - напр. поле за въвеждане на уеб страница или поле за въвеждане във формуляр в приложение или подобно.