Dapper LIKE запрос для MySql, безопасный от Sql Injection?

Защищен ли этот запрос от SQL-инъекций в сочетании с Dapper? Если нет, то как правильно написать это под MySql? Или есть лучшая версия без использования concat?

string sql = "SELECT * from user_profile WHERE FirstName LIKE CONCAT("%",@name,"%");"
var result = connection.query<profile>(sql, new {name});