拼接SQL造成的意想不到的后果

执行数据操作时，由于拼接SQL存在种种弊端，早就应该抛弃了，但在现实开发时，又由于种种原因，公司一直采用这种方式（UI层和逻辑层都有严格的过滤，倒也没出现过什么问题），但昨天开发时却出现了意想不到的问题，一个简单的语句会造成严重后果。简单的语句示例如下：
    /// <summary>
    /// 更新主键为2的记录的总钱数
    /// </summary>
    /// <param name="totalMoney">修改后的总钱数</param>
    public void UpdateTotalMoney(int totalMoney)
     {
        int id = 2; //数据库表主键
        int oldTotalMoney = 5000;       //主键为2的记录原来的总钱数
        int newTotalMoney = totalMoney; //主键为2的记录更改后的钱数
        int totalMoneyChange = oldTotalMoney - newTotalMoney; //总钱数的变化量
        string sql = string.Format("update Test1220 set totalMoney = {0},remainMoney = remainMoney-{1} where id = {2}", newTotalMoney, totalMoneyChange, id);   //总钱数变化，剩余可支配钱数也跟着编号
         SqlConnection con = new SqlConnection(sqlConnectString);
         con.Open();
         SqlCommand cmd = new SqlCommand(sql, con);
         cmd.ExecuteNonQuery();
         con.Close();
     }
    CREATE TABLE Test1220(
         id int IDENTITY(1,1) NOT NULL PRIMARY KEY,
         totalMoney int NULL,
         remainMoney int NULL
&n