Zumal man unbedingt die parametrisierte Version nutzen sollte, siehe
SQL Injection. So umgehst du das Problem weitestgehend.
Zudem hast du einen Geschwindigkeitsvorteil, wenn du mehrfach die gleiche
Query, nur mit anderen Daten absendest, da die Datenbank das
SQL schon geparst und daher meist im Cache hat. Wenn du hingegen immer einen reinen String schickst, muss dieser Vorteil nicht unbedingt gegeben sein.
»Remember, the future maintainer is the person you should be writing code for, not the compiler.« (Nick Hodges)