Nedělejte dynamické dotazy sestavováním řetězců a jejich prováděním.
Použijte sp_executesql a předat parametry jako parametry.
Zjistíte, že sql injection už neexistuje.
UPRAVIT :promiň, spěchal jsem a napsal špatný příkaz. to není sp_execute, je to sp_executesql; vyžaduje řetězec a sadu parametrů:veškeré kódování a escapování parametrů provádí SQL Server.
EDIT2 :vysvětlení příkazu sp_executesql