Tra parentesi, inserire valori direttamente nella query string va bene giusto per fare prove, in programmi "veri" usa sempre le query parametriche per evitare problemi di SQL Injection.