Ddev13,
As observações feitas anteriormente são de grande importância e relevância.
Aproveitando esta sua dúvida, em 2019 realizei um palestra com o MVP Dirceu Resende no evento MVPConf Latam 2019, o qual abordamos especificamente alguns cenários e soluções relacionadas a segurança e invasão, dentre eles Query Dinâmica e SQL Injection.
Neste post do blog do Dirceu, você vai poder encontrar de forma prática e entender os conceitos sobre estes dois assuntos: https://www.dirceuresende.com/blog/sql-server-como-evitar-sql-injection-pare-de-utilizar-query-dinamica-como-execquery-agora/,
você vai poder observar que o exemplo demonstrado no post esta totalmente relacionado com o seu cenário.
Evitar o uso de query dinâmica é o melhor cenário, mas caso não venha a ser possível, tente transformar sua query
em uma query parametrizada, fazendo uso da System Stored Procedure
SP_ExecuteSQL para realizar a execução do instrução ou lote de instrução de mais segura e protegida através dos protocolos de segurança existentes no SQL Server.
Acessando a documentação oficial da SP_ExecuteSQL, você vai encontrar a seguinte observação:
Importante
Executar instruções Transact-SQL em tempo de compilação pode expor os aplicativos a ataques maliciosos.
Aproveito para sugerir outros posts que podem lhe ajudar a implementar um cenário mais seguro:
Pedro Antonio Galvão Junior [MVP | MCC | MSTC | MIE | Microsoft Evangelist | Microsoft Partner | Engenheiro de Softwares | Especialista em Banco de Dados Relacional e Data Warehouse | Professor Universitário | @JuniorGalvaoMVP | http://pedrogalvaojunior.wordpress.com]
