Use marcadores de posição. Também ajudará na prevenção de injeções de SQL:
Session ses = HibernateUtil.getSessionFactory().openSession();
String query = "SELECT review.comment FROM ReviewDO review WHERE title=:title";
List<ReviewComment> reviewComments = ses.createQuery(query)
.setParameter("title", "Can't beat the product")
.list();
ses.close();
E se você tiver certeza de que sua consulta fornecerá apenas um registro, em vez de usar list(), use o método uniqueResult() da interface Query.
Para obter mais detalhes, consulte a documentação da interface de consulta aqui
