Sin ir más lejos (debes utilizar parámetros):
http://www.clubdelphi.com/foros/showthread.php?t=11107
NOTA: La forma de definir parámetros cambia dependiendo de la Base de Datos y de los componentes de acceso, pero la idea es siempre la misma; Éste sistema lo he utilizado con Access, IB, SQlServer y Oracle y siempre me ha ido bien.