Full Text Search upit i SQL Injection

[ Dr_Tony @ 15.07.2009. 08:11 ] @

Kad radim obicne upite na bazu, onda naravno, umjesto spajanja stringova
koje omogucava SQL Injrection, ja stavim parametre. Kad napravim upit koji
je u stilu full text search, onda mi parametre ne prihvaca, nego zahtijeva
niz znakova u navodnicima. Ako stavim parametar, onda mi ne vraca nista.

Googlam ko kreten cijelo vrijeme i nikako da nadjem rjesenje tog problema.
Znaci li to da SQL Injection nije moguc kod FTS upita. Ijako njusim da je
jer imam problem ako upit koji neko upise sadrzi navodnike ili
polunavodnike, onda mi sve puca.

Evo ja probavam ovako i nece, zna li neko rjesenje:

SQL = @"SELECT * FROM IndexedPages a JOIN CONTAINSTABLE(IndexedPages,
(Title, PageText), 'ISABOUT(@SearchTerm WEIGHT(.1))') ct ON a.ID = ct.[KEY]
ORDER BY RANK DESC";

myCommand = new SqlCommand(SQL, SqlConn);

myCommand.Parameters.Add(new SqlParameter("@SearchTerm", SearchTerm));

DAdapter.SelectCommand = myCommand;

DSet = new DataSet(); DAdapter.Fill(DSet);