Ho utilizzato i parametri perchè username e pass vengono da una form dove uno ci può scrivere qualsiasi cosa! Non per forza dell'injection, ma potrebbe metterci anche erroneamente un apostrofo che mi manda in ciccia tutta la query.
Solitamente ommetto i parametri solo quando non vi è nessun dato inserito dall'utente.

Supersqualo, in merito al tuo primo post per me è comodo sempre mettere la query in una variabile per "stamparla". Una volta eseguita la query ho uno script che mi sostituisce i ? con le variabili in modo da salvarle la query in un file di log per aver traccia di tutto e capire più facilemnte dove sono eventuali errori.

Sonia