Tienes que asegurarte de que tu cadena esta limpia y es correcta eso es lo primero que tienes que hacer, en eso, totalmente de acuerdo, cualquier parametro que recibes, ya sea para SQL o sea un simple parametro para X cosa, tienes que asegurarte de que es correcto y que respeta el formato para el cual lo vas a utilizar.

Suerte!!