Das Statement und die Parametern werden nicht in einen SQL String konvertiert, sondern getrennt (Befehl mit Platzhaltern / Parameter mit ihren Werten) an die API des Datenbankclient übergeben.

Man kann im BeforeExecute oder BeforeOpen eine Logausgabe 'zu Fuss' gestalten. OOP-mäßig kann man es durch eine Unterklasse oder einen "Dekorator" lösen, der die Logausgabe zusätzlich zu (eventuell ja schon vorhandenem) BeforeExecute / BeforeOpen ausführt (injiziert).