Você está chamando a base Statement.executeUpdate(String) método, que não tem nada a ver com PreparedStatement e simplesmente executa uma string de SQL bruto.

Você precisa chamar statement.executeUpdate() sem parâmetros para usar o método derivado n PreparedStatement .