Si usas las librerias Linq to dataBase lo trae todo incorporado, si usas querys directos en codigo ya sea llamando storeprocedure ó el query puro entonces nunca pongas esto así:

string query = "select * from tabla where id = 5";

Lo que pones es así:

string query = "select * from tabla where id = @id";

Y le mandas como parametro el valor de @id así:
SqlCommand cmd = new SqlCommand();
cmd.Connection = oCon;
cmd.CommandText = query;

cmd.Parameters.AddWithValue("@id", 5);

Así se protege y recomienda Microsoft que se haga uso de los querys.

Saludos,