Използвайте заместители. Също така ще помогне за предотвратяване на SQL инжекции:
Session ses = HibernateUtil.getSessionFactory().openSession();
String query = "SELECT review.comment FROM ReviewDO review WHERE title=:title";
List<ReviewComment> reviewComments = ses.createQuery(query)
.setParameter("title", "Can't beat the product")
.list();
ses.close();
И ако сте сигурни, че вашата заявка ще даде само един запис, тогава вместо да използвате list() използвайте метода uniqueResult() на интерфейса на заявката.
За повече подробности вижте документацията на интерфейса на заявката тук