Du bör använda setString()
metod för att ställa in userID . Detta säkerställer både att satsen är korrekt formaterad och förhindrar SQL injection :
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Det finns en trevlig handledning om hur man använder PreparedStatement är korrekt i Java Tutorials
.