Si quiere decir cómo asegurarse de que la entrada del usuario no se pueda usar en ataques de inyección de SQL, la forma de hacerlo (y la forma en que todo el SQL debe escribirse en JDBC) es usar declaraciones preparadas. JDBC manejará automáticamente cualquier escape necesario.
http://java.sun.com/docs/books /tutorial/jdbc/basics/prepared.html
