In caso di SQL usando i parameter non rischi pressocché nulla.

Per eventuali visualizzazioni, un Server.HtmlEncode(stringa_a_rischio) protegge dal codice "inserito" dall'utente.

In aggiunta un validateRequest="true" a livello di webapplication evita problemi, e in caso di necessità si può sempre controllare anche preventivamente, prima del submit, i caratteri inseriti dall'utente con il Javascript.

Ciao