Sí, así lo he hecho yo cuando lo he utilizado. Pero, ¿eso de parámetros entonces es efectivo, ya no te pueden meter código malicioso? ¿Está en otros lenguajes de programación web (php o asp)?

¿Y las librerías Linq to Database las recomiendas? ¿Para qué sirven?