http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html
この資料では「'」を「\'」にとなってるけど、「'」を「''」の方が正しかったはず。
と思ってぐぐって見たけどいい一次資料が見つからなかったorz
（直ったみたいw）
後、「"」を「""」にってのもいらないかなぁ?と思ったけど･･･これも情報源が･･･
SQL99の規格書の本は色々引っかかるんだが、そのものとなると･･･

その辺のこと自分が書いた文書でしっかり、かいてたやん。えらいぞ>自分w
http://www.geocities.jp/ikepy0n/SQLInjectin.html
で、思い出したが、2バイトコードネタをまとめようと思ってまとめてないや･･･

とまぁ、それはさておき、MySQLとJDBCの組み合わせって、こんなことできないのかなぁ？

select * from hoge where hoe='a' or 1=1;-- ';
select * from hoge where hoe='a' or 1=1;# ';
select * from hoge where hoe=1; select 1,'hoe';

なんかSyntaxエラーになるんだよねぇ。
MySQLのコマンドプロンプトからなら可能なんだけど･･･
聞くところによるとJDBCのチェックに引っかかってるため、出来ないらしい。ぬー抜け道考えないとうまく使えないなぁ。