Debe utilizar setString()
método para establecer el userID
. Esto asegura que la declaración tenga el formato correcto y evita la SQL injection
:
statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Hay un buen tutorial sobre cómo usar PreparedStatement
s correctamente en los tutoriales de Java
.