Se você quer dizer como garantir que a entrada do usuário não possa ser usada em ataques de injeção de SQL, a maneira de fazer isso (e a maneira como todo SQL deve ser escrito em JDBC) é usando instruções preparadas. O JDBC manipulará automaticamente qualquer escape necessário.

http://java.sun.com/docs/books /tutorial/jdbc/basics/prepared.html