Musíte použít PreparedStatement např.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Předejdete tak injekčním útokům.
Způsob, jakým to tam hacker vloží, je, že řetězec, který vkládáte, pochází ze vstupu někde – např. vstupní pole na webové stránce nebo vstupní pole ve formuláři v aplikaci nebo podobně.