Cómo evitar que una Inyección SQL escape de cadenas
Tengo algunas consultas (a una base de datos de acceso) como esta:
string comando = "SELECT * FROM ANAGRAFICA WHERE E_MAIL='" + user + "' AND PASSWORD_AZIENDA='" + password + "'";
y me gustaría "escapar" de usuario y contraseña, evitando una inyección.
¿Cómo puedo hacerlo con C # y .NET 3.5? Estoy buscando algo como mysql_escape_string en PHP ...