Preparare le query tramite concatenazione di stringhe è un ottimo modo per rendere un'applicazione a rischio di sql injection. Se c'è un modo standard, sicuro e altrettanto semplice per fare una certa cosa perché ostinarsi con una soluzione obsoleta e 100% a rischio? Magari il tuo è un semplice esercizietto del menga ma una cosa del genere in ambiente lavorativo è la peggio cosa che si possa fare, in particolare se i parametri della query arrivano dall'esterno (magari non è il tuo caso).