Stored Procedures.
Las aplicaciones de cierta envergadura, importancia y de gran acceso desarrollan toda la lógica de SQL en stored procedures, dejando en ASP (o lo que sea) sólo la tarea de administrar sus llamados, parametrizaciones y procesamiento de resultados.
Los XML, en general, se usan para manejar un conjunto de parámetros que afecten el uso de algunas partes del software, pero guardar las consultas, es una mala idea: Todo host es vulnerable.
Si tienes las consultas en archivos XML es lo mismo que dejar la llave de tu casa debajo del felpudo. Que no se vea, no quiere decir que alguien no se de cuenta que está allí y te la robe.