Как избежать задаваемых пользователем параметров с помощью SQL-запроса?

Попытка начать работу с JDBC (с использованием Jetty + MySQL). Я не уверен, как избежать пользовательских параметров в операторе SQL. Пример:

String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));

Как избежать «имени пользователя» перед использованием с оператором?