Du måste använda PreparedStatement t.ex.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Detta kommer att förhindra injektionsattacker.
Sättet som hackaren lägger in det där är om Stringen du infogar har kommit från input någonstans - t.ex. ett inmatningsfält på en webbsida, eller ett inmatningsfält på ett formulär i en ansökan eller liknande.