Debe usar PreparedStatement .p.ej.
String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);
ResultSet rs = ps.executeQuery();
Esto evitará los ataques de inyección.
La forma en que el pirata informático lo coloca allí es si la cadena que está insertando proviene de alguna entrada, p. un campo de entrada en una página web, o un campo de entrada en un formulario en una aplicación o similar.