De hecho es una mala práctica hacer eso, eso por cuestiones de seguridad, ya que hay la posibilidad de sufrir ataques de SQL Injection (aplicaciones web). Lo más recomendable es trabajar con parámetros.

Saludos