Está llamando a la base Statement.executeUpdate(String) método, que no tiene nada que ver con PreparedStatement y simplemente ejecuta una cadena de SQL sin formato.
Debe llamar a statement.executeUpdate() sin parámetros para usar el método derivado n PreparedStatement .
