Es la primera vez que desarrollo usando MVC y quiero que sea seguro.

Cuando uso HtmlEncode, convierte la Cadena en la Cadena HTML equivalente.

El usuario puede ingresar en la búsqueda por ejemplo ali 'o ali-- y existen en mi base de datos. ¿Cómo controlar mi búsqueda e inicio de sesión desde inyección SQL, por favor?

¿También hay algún tutorial o práctica recomendada para evitar la inyección de script?