uvi dizer que "todo mundo" está usando consultas SQL parametrizadas para se proteger contra ataques de injeção de SQL sem ter que avaliar todas as informações do usuári

Como você faz isso? Você consegue isso automaticamente ao usar procedimentos armazenados?

Então, meu entendimento não é parametrizado:

cmdText = String.Format("SELECT foo FROM bar WHERE baz = '{0}'", fuz)

Isso seria parametrizado?

cmdText = String.Format("EXEC foo_from_baz '{0}'", fuz)

Ou preciso fazer algo mais extenso como esse para me proteger da injeção de SQ

With command
    .Parameters.Count = 1
    .Parameters.Item(0).ParameterName = "@baz"
    .Parameters.Item(0).Value = fuz
End With

xistem outras vantagens em usar consultas parametrizadas além das considerações de seguranç

Update: Este ótimo artigo foi vinculado em uma das referências de perguntas de Grotok.http: //www.sommarskog.se/dynamic_sql.htm