Не знаю ничего о Kendo, но кажется, что вы пытаетесь ввести 'in (1,2)' в поле, а затем замените его на запрос, вместо того, чтобы просто ввести одно значение.
Прежде всего, следует использовать переменные связывания JDBC, так или иначе, любой оператор SQL, созданный при выполнении конкатенации строк, созревает с дырками безопасности. https://www.owasp.org/index.php/Top_10_2013-A1-Injection
Во-вторых, вы не можете привязывать значения для IN так же, как к одному значению. Теперь у вас всегда может быть предложение IN, и иногда вы свяжете только одно значение. Это было адресовано, прежде: How do I bind an ArrayList to a PreparedStatement in Oracle?
'string.replaceAll ("[= ']", "")' –
я не работаю, мой строка кода: filter.replaceAll ("[= ']", ""); –
Вы назначаете новое значение для фильтрации? 'filter = filter.replaceAll (" [= '] "," ");' –