In genere, per query parametriche, è meglio fare uso dei parametri per eludere qualsiasi tentativo di sql injection (una ricerca su Google per maggiori informazioni).

Qualsiasi utilizzo diretto dei valori eventualmente specificati all'interno di caselle di testo andrebbe evitato poichè si espone il sistema a vulnerabilità certe.

Ciao!