Cita:
Iniciado por relaxamos 
Me imagino que es por simplicidad más que por otra cosa.
Usar un PreparedStatement además es imprescindible si los parámetros vienen del "espacio exterior". Automaticamente evita cualquier clase de SQL Injection.
De todas formas, yo siempre (como mínimo) uso iBatis, allí se que estas protegido contra todo.
^^^ (al menos en teoría)
Yo tampoco trabajo "a pelo" con estas cosas, utilizo hibernate, generalmente con Criteria, porque aparte de por la seguridad, es bastante tedioso tener que implemenntar y mantener cada metodo para cada consulta... Pero bueno, me imagino que la mayoria habremos empezado con los resultset, y esta bien porque asi sabes mas o menos que se cuece detras de cada framework.