Lo mejor es no concatenar los valores de los parametros para construir la sentencia SQL como una cadena, y en vez de eso usar PreparedStatement. Y dejar la concatenacion para casos muy concretos de selects con clausulas dinámicas en tiempo de ejecución.