SQL Server的安全实践限制数据库访问的c#

我正在做一个项目，它本质上是一个自助数据库恢复/备份工具，用于在其机器上本地运行数据库并包含敏感信息的客户端机器。由于业务的性质和我们拥有的客户的数量，我根本不能用我正在创建的程序创建在数据库上使用的存储过程。

我知道使用字符串格式的原始SQL语句非常容易受到注入攻击。但是，由于对数据库的访问有限(本质上只是为了恢复和备份数据库)，我想问的是，在不损害安全性的情况下，运行这些命令的最有效和最安全的方法是什么?

客户端只需选择"还原"或"备份"选项，备份将只创建数据库的完整副本备份。备份和恢复的文件位置都将在代码中设置，并且不可修改。