Você deve usar o
setString()
método para definir o userID . Isso garante que a instrução seja formatada corretamente e impede a SQL injection :statement =con.prepareStatement("SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
Há um bom tutorial sobre como usar
PreparedStatement s corretamente nos Tutoriais Java
. 
