El problema viene principalmente porque el método executeQuery() espera un String y no lo esta recibiendo (que es lo que corrige HackmanC en su respuesta)

Consejo de seguridad para acceso a bbdd, cuando hagas una consulta de ese tipo debes evitar ciertos riesgos como es el caso de la inyeccion sql
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Para evitar esto puedes usar el objeto PreparedStatement, puedes ver un ejemplo en la documentacion de Oracle

http://docs.oracle.com/javase/7/docs...Statement.html