プレースホルダーを使用します。 SQLインジェクションの防止にも役立ちます:
Session ses = HibernateUtil.getSessionFactory().openSession();
String query = "SELECT review.comment FROM ReviewDO review WHERE title=:title";
List<ReviewComment> reviewComments = ses.createQuery(query)
.setParameter("title", "Can't beat the product")
.list();
ses.close();
また、クエリで1つのレコードしか得られないことが確実な場合は、list()を使用する代わりに、QueryインターフェイスのuniqueResult()メソッドを使用してください。
詳細については、クエリインターフェイスのドキュメントを参照してくださいこちら