Usa i parametri invece di concatenare le stringhe, una tecnica che oltre ad essere inefficiente espone la tua applicazione ad attacchi di vario tipo (SQL injection) oltre a rendere illeggibile il codice e ad aggiungere difficoltà nella formattazione e interpretazione dei parametri da passare.

A tua disposizione, dovresti avere una classe MySQLParameter che svolge questo compito.

Leggi la documentazione e gli esempi a riguardo per capire come impiegarla.

Ciao!