No me creas, pero si utilizas un poco la lógica, cuando usas parámetros es por que estas hablando de un StoredProcedure, en el cuál tienes una sentencia SQL ya definida, es decir, no se arma mediante cadenas de texto para luego llamar a la sentencia execute, con lo cual, cualquier cosa que le pongan al parámetro (sean comillas o código SQL) no lo incorporará al cuerpo de la sentencia, sencillamente por que no estas armando una consulta, ya está armada, lo que le pases por medio parámetro pos no es mas que parámetro y punto.

Ahora, si dentro del SP armas un SQL dinámico con lo recibido por parámetro, entonces el que venga por parámetro no te va a proteger nada....

Espero haber sido claro, por que ni yo me entendí.... :p


Saludos!