Функция формата и параметры в сценариях SQL-инъекций?

Я знаю об использовании параметров в предложениях sql, но просто из любопытства безопасно использовать функцию Format для предотвращения SQL-инъекций вместо использования paramters.

как этот образец

sCustomer : string
begin
 AdoSql.CommandText:=Format('Select SUM(value) result from invoices where customer=%s',[QuotedStr(sCustomer)]);
end;