El problema es que yo he intentando evitarlo usando la clase PreparedStatement e también lo he intentado usando variables parametrizadas, como explica en el siguiente enlace:
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQLpero en ambos casos aunque no me ejecuta la sentencia sql, me la introduce como un campo de texto en la base de datos.
Entonces yo estoy intentando que directamente si algun atancante quiere meterme alguna instruccion en la base de datos que no pueda.
He estado viendo si usando la librería ESAPI se podría, pero da bastantes problemas.
Estoy mirando manera de cómo resolver mi problema de una forma cómoda y fácil, no se si alguien conocerá
Gracias