Voer geen dynamische queries uit door strings te bouwen en deze uit te voeren.
Gebruik sp_executesql en geef parameters door als parameters.
U zult merken dat sql-injectie niet meer bestaat.
BEWERKEN :sorry, ik had haast en schreef het verkeerde commando. het is niet sp_execute, het is sp_executesql; er is een string en een set parameters voor nodig:alle codering en escaping van de parameters wordt gedaan door SQL Server.
EDIT2 :uitleg sp_executesql-verklaring