O objetivo das declarações preparadas é, entre outros, não concatenar suas consultas por conta própria.
Você quer fazer o seguinte:
//first you "prepare" your statement (where the '?' acts as a kind of placeholder)
PreparedStatement st = con.prepareStatement("insert into user (user,age,school,password) values (?,?,?,?);");
//now you bind the data to your parameters
st.setString(1, user);
...
//and then you can execute it
st.executeUpdate()
Para obter mais detalhes, consulte o tutorial oficial .
Há algumas coisas acontecendo nos bastidores que tornam a consulta segura, como escapar de caracteres especiais que, de outra forma, permitiriam alterar a instrução (injeções de SQL do Google, se você quiser saber mais)
