Spesso sul forum mi capita di correggere gli utenti che usano la concatenazione delle stringhe sia da un punto di vista di performance che sopratutto per il rischio di Sql Injection che è un male che ancora poco conosciuto ma molto molto pericoloso.
In questo articolo Raffale Rialdi MVP sulla sicurezza, spiega in modo molto chiaro quali sono i pericoli a cui si và incontro e l'importanza di non usare la concatenazione di stringhe.

Come spesso ripeto nel forum usare i Parametri o le query parametriche.