Per abitudine, non inserisco mai i valori parametrici "inline"
direttamente nello statement della query da eseguire.

In genere, credo sia più opportuno fare uso di parametri (/Params/)
definendo appositi "segnaposto" all'interno della query che vado poi a
valorizzare successivamente.

In questo modo, è possibile eseguire un controllo di appartenenza ad un
determinato tipo sui dati che devono essere sostituiti ai parametri, si
scongiurano eventuali problemi di interpretazione legati alle
impostazioni internazionali del sistema (ad esempio, la conversione di
una stringa con una data per un campo data/ora verace), è possibile
inoltre velocizzare l'esecuzione della query in determinati casi,
laddove lo consente il "motore" utilizzato per l'accesso al database;
per ultimo, ma non in ordine di importanza, ci si protegge maggiormente
dal pericolo di "SQL Injection".

Ciao,
Marco.

Ti conviene *assolutamente* usare i parametri, come ti è stato detto da
Marco.
Se proprio devi fare così, piuttosto fai
'where Cognome = ' + QuotedStr(Cognome)
che fa un po' meno brutto ;)

Inoltre, non ti serve fare ExecSQL: per una query di tipo SELECT, ti
basta fare l'Open.
L'ExecSQL, come scritto nella guida, serve solo per quelle query che
fanno operazioni di scrittura che non ritornano un recordset, tipo
UPDATE o DELETE, e che quindi non serve che siano aperte, basta eseguirle.