Ну, вам действительно нужно защитить входные данные пользователя. Таким образом, вопрос, который вы должны задать себе: «Получены ли эти данные из пользовательского ввода?» Если это так, вы должны использовать параметры sql.
В более широком масштабе, и учитывая, что у вас есть отдельные методы и классы для доступа к данным, вы должны использовать параметры sql для каждого текстового параметра, который вы предоставляете вашему sql. В этом сценарии параметры sql на самом деле не нужны, потому что если вы получите число в качестве параметра метода, то это никак не повлияет на внедрение SQL.
Однако, если вы сомневаетесь, используйте параметры sql.