Buenos días,
efectivamente para evitar la inyección SQL se utiliza PrepareStatement, usarlo implica variar un poco la realización de la consulta, un ejemplo sería el siguiente, para hacer un insert en una BBDD
Código Java:
Ver original/*Creamos el prepare y la sentencia SQL que deseamos ejecutar donde los parámetros vendrán identificados por interrogantes ? */
conexion.prepareStatement("insert into tabla values (?,?,?)");
//Y para cada uno de los ? debemos cargar un parámetro usando uno de los métodos set que irán variando en función del tipo de dato que queremos añadir
p.setInt(1, 2);
p.setString(2, "Loquesea");
p.setString(3, "Loquesea2");
//De esta forma el insert que se estaría realizando sería el siguiente
insert into tabla values(1, "Loquesea", "Loquesea2");
Con permiso de chuidiang, en su web tienes un apartado donde te viene todo esto bien explicado, además de mencionarte las ventajas y otras utilidades del PreparedStatement
http://www.chuidiang.com/java/mysql/...java-mysql.php