Bueno, si, efectivamente una ventaja de parametrizar consultas es evitar el SQL Injection, ya que controlas el tipo, contenido, tamaño y nombre inclusive de los parámetros, pero no es la única.

Quizá la diferencia más evidente es que el recordSet es solo para almacenar un cursor de datos que la DB te regrese, el command es para cualquier sentencia del lenguaje de manipulación de datos (LMD); otra es que aunque tanto con el RecordSet como con el Command puedes ejecutar procedimientos almacenados, solo mediante definición de parámetros del command puedes atrapar los valores de retorno de estos.

Dale una mirada a este artículo: http://www.aspfaq.com/params.htm

Saludos