Por lo pronto, no se deben construir en C#.net las sentencias SQL como cadenas de texto, sino por parametrización. De ese modo cualquier sql-injection disparará errores de sintaxis.
Por otro lado, existen en los diferentes lenguajes métodos para sanitizar los datos, sin necesidad de poner basura en los mismos.
Además, si vas a operar contra una base de datos, te recomiendo enfáticamente usar stored procedures, en especial con .Net, ya que los SP son invulnerables al sql-injection, en especial cuando no incluyes sentencias preparadas en ellos.
Podríamos seguir este thread en el foro de .Net, si quieres que veamos la codificacion adecuada para tales cosas.
¿Quieres que mueva el hilo a ese foro y vemos los temas de C#.Net (todavía no me has confirmado si usas .Nt o no, pero lo estoy suponiendo).