Per i PreparedStatement, togli gli apici dalla query e lascia solo ?.
codice:
PreparedStatement ps = connection.prepareStatement("SELECT * FROM ISCRITTI WHERE username=? and password=?");
Ma sei sicuro che non funzioni? Come password dalla jsp passagli pass' or 1=1 e guarda che ti dice.
Per quanto riguarda il replace, la sequenza di escape nell'sql è '' (2 singoli apici) e non " (doppio apice).Quindi
codice:
getUsername().replaceAll("'","\\'\\'")