I grund och botten, när du utför en SQLCommand med SQLParameters , parametrarna infogas aldrig direkt i satsen. Istället en systemlagrad procedur som heter sp_executesql anropas och ges SQL-strängen och arrayen av parametrar.
När de används som sådana isoleras parametrarna och behandlas som data, istället för att behöva tolkas ur satsen (och därmed eventuellt ändra den), så det som parametrarna innehåller kan aldrig "exekveras". Du får bara ett stort felmeddelande om att parametervärdet är ogiltigt på något sätt.