Мне не ясно, глядя на исходный код, если метод public Sql Append(string sql, params object[] args) в библиотеке NPOCO предотвращает внедрение SQL.
Для простоты (мой запрос более сложный, чемthis), в следующем примере с filter, являющимся параметром, передаваемым клиентом:
var sql = new Sql();
sql.Append("SELECT * FROM Request WHERE [Company] LIKE @0", $"%{filter}%");
Этот код подвержен SQL-инъекции?