Он встроен, только если вы его используете.Entity Framework предоставляет строго типизированные классы сущностей - если вы используете только Linq to Entities, вы будете защищены от атак с использованием SQL-инъекций, то же самое верно и в случае использования параметризованного SQL с SQL-сервером напрямую.
Сказав это, выВы можете по-прежнему стрелять себе в ногу, если используете запросы к хранилищу EF - это может быть простой старый SQL - поэтому убедитесь, что вы используете SqlParameter здесь.