PreparedStatement を使用する必要があります 例:
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
これにより、インジェクション攻撃が防止されます。
ハッカーがそれをそこに置く方法は、あなたが挿入している文字列がどこかの入力から来ているかどうかです-例えば。 Webページの入力フィールド、またはアプリケーションなどのフォームの入力フィールド。