Я знаю об использовании параметров в предложениях sql, но просто из любопытства безопасно использовать функцию Format для предотвращения SQL-инъекций вместо использования paramters.
как этот образец
sCustomer : string
begin
AdoSql.CommandText:=Format('Select SUM(value) result from invoices where customer=%s',[QuotedStr(sCustomer)]);
end;