Invoke-SqlCmd - a conversão como inteiro evita a injeção

Você pode, mas há problemas em fazer isso.

Principalmente, ainda não é uma ótima ideia porque o padrão não é extensível. Funciona apenas para determinados tipos de dados. Assim que você tiver um parâmetro de string, você estará de volta onde estava com a injeção. Isso também significa que você precisa se preocupar com como certos tipos de dados (matrizes de bytes, GUIDs, datas) são convertidos em strings.

Você também deve estar ciente de que os parâmetros de valor nulo serão modificados silenciosamente, 0pois [int32]é um tipo não anulável. Você teria que especificar [nullable[int32]]para evitar esse comportamento. Mesmo assim, como os valores nulos que são convertidos em uma string resultarão em uma string vazia, você obtém um erro muito mais descritivo com um parâmetro.

Você prefere depurar isso:

Invoke-Sqlcmd : Sintaxe incorreta perto de ';'.

Ou isto:

Exceção chamando "Fill" com argumento(s) "1": "A consulta parametrizada '(@object_id int)select type_desc de sys.objects onde object_i' espera o parâmetro '@object_id', que não foi fornecido."

Finalmente, se você for usar muito a consulta, pode ser mais difícil para o sistema reutilizar o plano de consulta.

Não é tão difícil especificar quando você está acostumado:

function foo {
    [CmdletBinding()]
    Param(
        $object_id 
    )

    $Query = 'select type_desc from sys.objects where object_id = @object_id;'
    $ConnectionString = 'Data Source={0};Initial Catalog={1};Integrated Security=SSPI' -f 'localhost', 'tempdb'

    $SqlConnection = New-Object -TypeName System.Data.SqlClient.SqlConnection -ArgumentList $ConnectionString

    $SqlCommand = New-Object -TypeName System.Data.SqlClient.SqlCommand -ArgumentList $Query, $SqlConnection
    $SqlCommand.Parameters.Add('@object_id', [System.Data.SqlDbType]::Int).Value = $object_id

    $SqlDataAdapter = New-Object -TypeName System.Data.SqlClient.SqlDataAdapter -ArgumentList $SqlCommand

    $DataTable = New-Object -TypeName System.Data.DataTable -ArgumentList 'objects'

    [void]$SqlDataAdapter.Fill($DataTable)
    $SqlConnection.Dispose()

    , $DataTable
}

[Se você estiver bem com a saída de DataRows apenas, você pode remover a vírgula da última linha. A vírgula força a função a produzir o DataTable inteiro. Sem a vírgula, você obterá um fluxo de DataRows.]

Parece complicado, mas você pode reutilizar esse padrão várias vezes. Eu essencialmente copiei o código acima de meus próprios scripts.

Se sua preocupação é a implantação de código, eu diria que esse método ainda é melhor. O código acima requer apenas o .Net Framework. De fato, o código funciona até mesmo no PowerShell Core 6.0 (concedido, você precisa chamar (foo <value>).Rowspara obter uma saída equivalente porque o Core não foi ensinado a exibir DataTables na linha de comando). O uso Invoke-Sqlcmdadiciona uma dependência no SqlServermódulo do PowerShell que está sendo instalado. Claro, é um módulo original, mas ainda não é fornecido com o Windows por padrão. Você definitivamente perde alguns benefícios do encapsulamento sendo feito por outros sem Invoke-Sqlcmd, mas ainda há uma troca.