Verwenden Sie Platzhalter. Es hilft auch bei der Verhinderung von SQL-Injections:
Session ses = HibernateUtil.getSessionFactory().openSession();
String query = "SELECT review.comment FROM ReviewDO review WHERE title=:title";
List<ReviewComment> reviewComments = ses.createQuery(query)
.setParameter("title", "Can't beat the product")
.list();
ses.close();
Und wenn Sie sicher sind, dass Ihre Abfrage nur einen Datensatz liefert, verwenden Sie statt list() die Methode uniqueResult() der Abfrageschnittstelle.
Weitere Details finden Sie in der Dokumentation der Abfrageschnittstelle hier