hola123

Como dice DirtyAffairs, utiliza el PreparedStatement, aqui te dejo un ejemplo:

PreparedStatement pstmt = con.prepareStatement("SELECT * FROM usuarios WHERE nombre = ? and paterno? and materno = ?");
pstmt.setString(1, nombreUsuario);
ResultSet rset = pstmt.executeQuery();

Donde los signos de interrogacion reemplazarian tus variables que por lo regular pones en los querys.

Y despues haces set de con los datos que necesitas, los SET hay de los diferentes tipos de variables integer,boolean,string,etc.

Importante recuerda que debes llevar el orden cuando haces el set de los datos, ya que ese orden es como se integrara al preparedStatement.