Hola,

la forma en la que has resuelto el ejercicio no es incorrecta, pero hay que mencionar que un código implementado así puede dar lugar a lo que se denomina InyecciónSQL

http://todoelmed.blogspot.com.es/201...iones-sql.html

para evitar esto, en java en concreto, se utiliza la clase PreparedStatement que permite parametrizar las variables

http://todoelmed.blogspot.com.es/201...l-en-java.html

Un saludo.