Vcs às vezes parecem viver numa BOLHA de Patterns!!!
Ou então numa religião do GOF…
O cara apenas quer manter um código… o chefe não deu recurso pra ele, não deu tempo, não deu treinamento, não deu permissão para alterar (risco x retorno) e vcs sugerindo que o mundo seja melhor e mais justo!!!
tenha paciência… chatinho demais vcs!!!
RESPOSTA: vc tem que fazer igual o Fábio disse. Dê uma pesquisada em como usar PreparedStatement… tem exemplos demais na NET. Isso pode demandar tempo e vc tem que reportar esse tempo ao seu cliente e/ou superior e dizer que está aplicando em segurança.
Existem outras soluções menos elegantes como testar a ocorrência de caracteres (aspas, ponto, virgula, as palavras exatas AND ou OR) na String de where…