Dlaczego chcesz to zrobić? Prawidłowym sposobem wysyłania danych wejściowych użytkownika do bazy danych nie jest ucieczka, ale użycie parametry zapytania .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
Zapewnia to lepszą wydajność, ponieważ tekst zapytania jest zawsze taki sam, więc plan wykonania zapytania może być buforowany. Chroni to również przed atakami typu SQL injection. Pozwala także zignorować problemy z formatowaniem danych (np. jak formatuje się DateTime w SQL-Server? Jak należy reprezentować liczbę w SQL? itd.)
