Como has visto el codigo de injección siempre incluye caracteres como ; o declare en la secuencia del querystring

De ahi la solución que proponía en el codigo asp de mi post anterior. Esa es la forma más segura de filtrar y evitar entradas no válidas.