@skoschke
Ich geh mal davon aus, dass du im ersten Ansatz ohne die Parameter das SQL zusammen gebaut hättest inkl. der Werte.
Hier ist noch nicht das Wort SQL-Injektion gefallen.
SQLs selbst zusammen bauen ist gefährlich und kann in so einer Sicherheitslücke enden. Daher IMMER Parameter verwenden!