Hvorfor vil du gøre det? Den korrekte måde at sende brugerinput til databasen på er ikke at undslippe den, men at bruge forespørgselsparametre .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
Dette giver bedre ydeevne, fordi forespørgselsteksten altid er den samme, så forespørgselsudførelsesplanen kan cachelagres. Dette beskytter dig også mod SQL-injektionsangreb. Og det giver dig også mulighed for at ignorere dataformateringsproblemer (f.eks. hvordan formateres en DateTime i SQL-Server? Hvordan skal du repræsentere et tal i SQL? og så videre)