برای جلوگیری از SQL Injection باید بجای Statement از PreparedStatement استفاده کنید:
statement = connection.prepareStatement("INSERT INTO customer (name, family) values (?, ?)");
statement.setString(1, "Saeed");
statement.setString(2, "Zarinfam");
statement.executeUpdate();