SQLインジェクションされないようにPreparedStatementを使います。
パフォーマンスがよくなるのでPreparedStatementを使います。

といっても、PreparedStatementをこんな風に使われてたら何の意味も無い。

String sql = "SELECT * FROM HOGE WHERE ID='" + id + "'";
PreparedStatement pstmt = conn.prepareStatement(sql);