Stai chiamando la base Statement.executeUpdate(String) metodo, che non ha nulla a che fare con PreparedStatement ed esegue semplicemente una stringa di SQL grezzo.
Devi chiamare statement.executeUpdate() senza parametri per utilizzare il metodo derivato n PreparedStatement .
