SQL Injection (Rejection?)

String sql = String.Format(
            "UPDATE A_TABLE SET A_FLAG=2, PRICE=PRICE-{0} WHERE ID={1}", dwPrice, dwID);

dwPriceが負の数だったときに『--』が作られる。『--』は行コメントなので『PRICE=PRICE』より後ろがコメントアウトされてしまう。そしてテーブルの全レコードが『A_FLAG=2』に更新されてしまった……(今日の実話)