Waarom wil je dat doen? De juiste manier om gebruikersinvoer naar de database te sturen is niet om eraan te ontsnappen, maar om queryparameters .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
Dit zorgt voor betere prestaties, omdat de querytekst altijd hetzelfde is, zodat het uitvoeringsplan voor de query in de cache kan worden opgeslagen. Dit beschermt u ook tegen SQL-injectie-aanvallen. En het stelt u ook in staat om problemen met gegevensopmaak te negeren (bijvoorbeeld hoe wordt een DateTime geformatteerd in SQL-Server? Hoe moet u een getal weergeven in SQL? enzovoort)