Возможный дубликат:
Могу ли я защитить от SQL Injection, выполнив одиночную кавычку и окружающий пользовательский ввод с помощью одиночных кавычек?
String badInput = rawInput.replace("'","''");
ResultSet rs = statement.executeQuery("SELECT * FROM records WHERE col1 = '"+badInput+"'";
Есть ли способ сделать " Bobby Tables" - как атака на этот код?