Měli byste použít setString()
metoda pro nastavení userID . To zajišťuje správné formátování příkazu a zabraňuje SQL injection :
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Existuje pěkný návod, jak používat PreparedStatement je správně v výukových programech Java
.