Трябва да използвате setString()
метод за задаване на userID
. Това едновременно гарантира, че изразът е форматиран правилно, и предотвратява SQL injection
:
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Има хубав урок за това как да използвате PreparedStatement
е правилно в уроците по Java
.