http://www.php.net/manual/en/function.htmlspecialchars.php

das sollte genuegen, wenn du mit php arbeitest ...

hat nix mit php zu tun, es soll rein SQL-technisch sein. Ein Java-Client schickt den SQL-Befehl ab. Frage ist, wie maskiert man ein ' bei einem String-Insert aus.