Rchtig: Parameter benutzen für Inserts und Updates.
Dazu im SQL-Statement die Parameter so reinschreiben:

Insert into TableName (Column1, Column2)
values (arameter1Name, arameter2Name)

und im Code z.B. mittels ParamByName('Parameter1Name).AsString = 'Hallo';
setzen. Das ist jetzt natrlich nicht ganz vollständig, soll dir aber ein wenig die Richtung aufzeigen.