E agora que vi seu código: sob hipótese alguma faça string interpolation de uma query onde o usuário pode inserir qualquer dado. Isso pode acarretar em SQL injection. Sempre passe como a biblioteca indica. Ela tem o tratamento necessário para evitar esse tipo de vulnerabilidade.