In de documentatie waar Erik aan linkt staat vrij duidelijk "Issue a single SQL update operation (such as an insert, update or delete statement) via a prepared statement, binding the given arguments." Als je doorklinkt kom je uit op https://docs.oracle.com/javase/8/docs/api/java/sql/PreparedStatement.html waar ook staat te lezen dat het gaat om An object that represents a precompiled SQL statement. Het gaat dus om precompiled SQL queries die gebruikt worden door een PreparedStatement. Daar zit dus niet nog een 'latere escaping' in die je kunt omzeilen, alle interpretatie heeft wat de database betreft namelijk al plaatsgevonden. Hoe dit werkt staat bijvoorbeeld uitgelegd op https://javabypatel.blogspot.com/2015/09/how-prepared-statement-in-java-prevents-sql-injection.html. Laat ik voor de duidelijkheid nog even een citaat uit de blogpost geven: Due to one time compilation feature of PreparedStatement, it is free of SQL Injection attack. De TS geeft al aan dat hij zelf niet begrijp wat er fout is, en terecht ...