Auf Jeff's Weblog fand ich den sehr guten Artikel "Always Use Parameters. Even if you don't use Stored Procedures., der mehrere gute Gründe beschreibt, warum es wichtig (nicht nur sinnvoll) ist, generell Parameter zu verwenden.

Neben der Performance spielt auch die Sicherheit – der Schutz vor SQL-Injektion – eine große Rolle. Seine Beispiele beziehe sich auf ADO.Net, aber das gesagte gilt meiner Ansicht nach uneingeschränkt für jedes API.