EXEC (@sql) es una invitación para los sql injections. Por lo menos utiliza EXEC sp_executesql @sql que es cuando menos más eficiente y si mal no recuerdo mejora el tema de los injections. Revisa la ayuda del comando para que veas las diferencias.