Gunakan PreparedStatement . Dengan cara itu Anda menominasikan placeholder dan driver JDBC akan melakukan ini dengan benar dengan mengirimkan database pernyataan, ditambah parameter sebagai argumen.
String updateStatement =
"update " + dbName + ".COFFEES " +
"set TOTAL = TOTAL + ? " +
"where COF_NAME = ?";
PreparedStatement updateTotal = con.prepareStatement(updateStatement);
updateTotal.setInt(1, e.getValue().intValue());
updateTotal.setString(2, e.getKey());
Tanda tanya di atas mewakili placeholder.
Karena nilai ini diteruskan sebagai parameter, Anda tidak memiliki masalah dengan kutipan, dan ini melindungi Anda dari SQL injeksi juga.
