有没有办法以编程方式从SQL Server上的CREATE/ALTER DATABASE等C#语句调用而不会产生安全问题？

是的，可以通过使用参数化查询和存储过程来以编程方式从SQL Server上执行CREATE/ALTER DATABASE等C#语句，以避免安全问题。

参数化查询是一种将查询参数与查询语句分离的技术。通过将参数值作为参数对象的属性传递给查询语句，可以防止SQL注入攻击。在C#中，可以使用SqlCommand对象和SqlParameter对象来实现参数化查询。

以下是一个示例代码，演示如何以编程方式执行CREATE DATABASE语句并避免安全问题：

using System;
using System.Data.SqlClient;

class Program
{
    static void Main()
    {
        string connectionString = "Your SQL Server connection string";
        string databaseName = "Your database name";

        using (SqlConnection connection = new SqlConnection(connectionString))
        {
            connection.Open();

            // 创建一个新的数据库
            string createDatabaseQuery = $"CREATE DATABASE {databaseName}";
            using (SqlCommand command = new SqlCommand(createDatabaseQuery, connection))
            {
                command.ExecuteNonQuery();
            }

            // 执行其他操作...

            // 关闭连接
            connection.Close();
        }
    }
}

在上述示例中，我们使用了参数化查询来执行CREATE DATABASE语句。这样可以确保数据库名称不会被解释为SQL代码，从而防止SQL注入攻击。

此外，还可以使用存储过程来执行CREATE/ALTER DATABASE等操作。存储过程是预编译的SQL代码块，可以在数据库中进行存储和重复使用。通过使用存储过程，可以进一步提高安全性和性能。

总结起来，以编程方式执行CREATE/ALTER DATABASE等C#语句时，可以采用参数化查询和存储过程来避免安全问题。这样可以确保输入的数据不会被解释为恶意代码，从而保护数据库的安全性。