Ok, vamos fazer isso.
Primeiro, e mais importante de tudo, seu código é vulnerável a SQL Injection . Você deve trabalhar nisso e começar a usar parâmetros.
Segundo, quando você começar a usar parâmetros, seu erro provavelmente desaparecerá (ou reaparecerá em outro lugar, desta vez mais claro sobre o que está errado). Isso porque, provavelmente, o servidor "não gosta" do seu digitado com string formato de data, então ele falha.
Atualizar
Sobre consultas parametrizadas em java, leia aqui:
- https://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java
- http://www.codinghorror.com/blog/2005/04/give-me-parameterized-sql-or-give-me-death.html
- http://download.oracle.com/javase/ tutorial/jdbc/basics/prepared.html
- http://www.javaworld. com/javaworld/jw-04-2007/jw-04-jdbc.html
