Aus Sicherheitsgründen ist es (fast) zwingend nötig mit SQL Parametern zu arbeiten, da sonst über SQL-Injection und Co. die Gefahr von Angriffen auf das System (Server oder nur Datenabzug/zerstörung) zu groß ist.

Auch würde man (im Firmenumfeld) Probleme bekommen, wenn über die SecurityAnalyse der gesendeten SQL-Befehle (SQL Profiler) sieht und du dann überall nachweisen musst das du die String immer Escapst.