Sie müssen PreparedStatement verwenden .z.B.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Dadurch werden Injection-Angriffe verhindert.
Die Art und Weise, wie der Hacker es dort einfügt, ist, wenn der von Ihnen eingefügte String von einer Eingabe stammt - z. ein Eingabefeld auf einer Webseite oder ein Eingabefeld in einem Formular in einer Anwendung oder ähnlichem.
