Use PreparedStatement:http://download.oracle. com/javase/6/docs/api/java/sql/PreparedStatement.html

Nunca use concatenação de strings para passar argumentos para comandos SQL (risco de segurança:injeção de SQL)!