Intentando comenzar con JDBC (usando Jetty + MySQL). No estoy seguro de cómo escapar de los parámetros proporcionados por el usuario en una declaración SQL. Ejemplo:

String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));

¿Cómo escapamos del "nombre de usuario" antes de usarlo con una declaración?