Ако имате предвид как да се уверите, че въвеждането на потребителя не може да се използва при атаки с инжектиране на SQL, начинът да направите това (и начинът, по който целият SQL трябва да бъде написан в JDBC) е да използвате подготвени изявления. JDBC автоматично ще се справи с всяко необходимо екраниране.
http://java.sun.com/docs/books /tutorial/jdbc/basics/prepared.html