Moin Harry,

ich finde man sollte sich immer daran gewöhnen die sichere Variante
zu verwenden. Es muss ja nicht mal jemand mit bösem Willen handeln.
Wenn es schlecht läuft, wird, versehentlich was aus der Zwischenablage
eingefügt und abgeschickt, was auch immer dabei dann herauskommt.
Ausserdem, finde ich, ist die Variante mit Parameter besser zu lesen und
somit wartbarer.

Ein ausführlicher Artikel zum Thema SQL-Injection
SQL Injection Prevention Cheat Sheet

Auch wenn man Resourcen belegt, sollte das nächste was man schreibt, die Freigabe der
Resourcen zu schreiben, damit man es nicht vergisst.