Da MSDN un articolo su come impedire la SQL Injection con .NET e C#. L'articolo mette a fuoco le capacità di questo tipo di attacco e gli strumenti che .NET ci mette a disposizione per prevenirlo.
http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/default.aspx
A tal proposito voglio segnalare anche il ciclo di eventi Microsoft Security Roadshow che si è tenuto ad aprile in diverse città italiane e ringraziare Marco Russo per il suo supporto davvero molto interessante. Per chi fosse interessato, a questo link è possibile scaricare le slide e le demo utilizzate durante le sessioni (ho utilizzato il link della sessione di Bari, dove ero presente anch'io, da spettatore ovviamente ;-)):
http://www.devleap.com/SchedaConferenza.aspx?IdConferenza=MSSEC04BA
[update] Avevo dimenticato di menzionare l'articolo di Luca Regnicoli e Roberto Brunetti: ASP.NET SQL Injection Attack