StringEscapseUtilsクラスは、SQLのエスケープをしてくれるユーティリティです。
SQLインジェクションを防げるので大変便利です。
staticメソッドのため記述方法は以下のような感じです。
import org.apache.commons.lang.StringEscapseUtils;
・
・
String sql = "SELECT * FROM EMPLOYEE WHERE ID =
StringEscapseUtils.escapseSql(id)";
具体的にはシングルクォーテーションをエスケープしてくれるようです。