¿Cómo escapar de los parámetros proporcionados por el usuario con una consulta SQL?
Intentando comenzar con JDBC (usando Jetty + MySQL). No estoy seguro de cómo escapar de los parámetros proporcionados por el usuario en una declaración SQL. Ejemplo:
String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));
¿Cómo escapamos del "nombre de usuario" antes de usarlo con una declaración?