Om du menar hur ser du till att användarinmatning inte kan användas i SQL-injektionsattacker, sättet att göra detta (och hur all SQL ska skrivas i JDBC) är att använda Prepared Statements. JDBC kommer automatiskt att hantera all nödvändig escape.
http://java.sun.com/docs/books /tutorial/jdbc/basics/prepared.html