El objetivo de las declaraciones preparadas es, entre otros, no concatenar sus consultas usted mismo.
Desea hacer lo siguiente:
//first you "prepare" your statement (where the '?' acts as a kind of placeholder)
PreparedStatement st = con.prepareStatement("insert into user (user,age,school,password) values (?,?,?,?);");
//now you bind the data to your parameters
st.setString(1, user);
...
//and then you can execute it
st.executeUpdate()
Para obtener más detalles, consulte el tutorial oficial .
Hay un par de cosas que suceden detrás de escena que hacen que la consulta sea segura, como caracteres especiales de escape que de otro modo permitirían alterar la declaración (inyecciones de SQL de Google si desea saber más)
