Самый простой инструмент в ADO.NET - это использование параметров sql для всех переменных вашего запроса, которые являются переменными. Это также имеет преимущество в эффективности. Даже если у вас есть явный sql в вашем коде и вы вообще не используете хранимые процедуры или функции, вы все равно получаете оба этих преимуществ, используя одну и ту же строку запроса, изменяя только значения ваших параметров.
Могут быть случаи (например, с поисковыми системами), когда вам действительно нужно динамически создавать текст команды sql, не используя параметры sql. Это прискорбно, потому что другие способы защитить себя от SQL-инъекций (различные виды дезинфекции и черные списки ключевых слов) более сложны и требуют от вас быть вдумчивым и умным. Постарайтесь избежать этого!