Als u juiste geparametriseerde instructies gebruikt , daar hoeft u zich geen zorgen over te maken. Zoiets als dit (leer alstublieft geen C#-technieken van mij):
string sql = @"UPDATE dbo.table SET col = @p1 WHERE ...;";
string myString = @"hello'foo""bar";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.CommandType = CommandType.Text;
SqlParameter p1 = cmd.Parameters.AddWithValue("@p1", myString);
cmd.ExecuteNonQuery();
(Hoewel u eigenlijk opgeslagen procedures zou moeten gebruiken.)
Als je je strings handmatig opbouwt (wat je echt, echt, echt niet zou moeten doen), moet je string scheidingstekens omzeilen door ze te verdubbelen:
INSERT dbo.tbl(col) VALUES('hello''foo"bar');