¿Hay una base de datos que ya lo permita?
Si no, así es como creo que podría hacerse. Creo que sería necesario modificar el software de la base de datos y el controlador o el código que está ensamblando la consulta SQL. Creo que a veces esto lo hace la propia base de datos y otras veces el controlador.
Una configuración como 'Solo parámetros seguros' se habilitaría para la cuenta de usuario de la base de datos utilizada por el servidor web. Si está habilitado, solo se permitirán los parámetros marcados como seguros. El protocolo de red de la base de datos debe tener la capacidad para que el controlador comunique que los parámetros en la consulta fueron reemplazados por el controlador de forma segura y no por el código de llamada.
La cuenta de usuario utilizada por un administrador para realizar consultas no tendría esta función habilitada porque no utilizamos consultas parametrizadas al realizar la administración.
¿Esto funcionaría? ¿Se me escapa algo?