Не правете динамични заявки, като създавате низове и ги ИЗПЪЛНЯВАТЕ.
Използвайте sp_executesql
и предавайте параметри като параметри.
Ще откриете, че инжектирането на sql вече не съществува.
РЕДАКТИРАНЕ :съжалявам, бързах и написах грешна команда. не е sp_execute, а sp_executesql; той приема низ и набор от параметри:цялото кодиране и екраниране на параметрите се извършва от SQL Server.
РЕДАКТИРАНЕ 2 :обяснение на оператора sp_executesql