अगर आप उचित पैरामीटरयुक्त कथनों का उपयोग करते हैं , आपको इसके बारे में चिंता करने की ज़रूरत नहीं है। कुछ इस तरह (हालांकि कृपया मुझसे C# तकनीक न सीखें):
string sql = @"UPDATE dbo.table SET col = @p1 WHERE ...;";
string myString = @"hello'foo""bar";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.CommandType = CommandType.Text;
SqlParameter p1 = cmd.Parameters.AddWithValue("@p1", myString);
cmd.ExecuteNonQuery();
(हालांकि आपको वास्तव में संग्रहित प्रक्रियाओं का उपयोग करना चाहिए।)
यदि आप अपने स्ट्रिंग्स को मैन्युअल रूप से बना रहे हैं (जो आपको वास्तव में, वास्तव में, वास्तव में नहीं करना चाहिए), तो आपको स्ट्रिंग सीमांकक को दोगुना करके बचने की आवश्यकता है:
INSERT dbo.tbl(col) VALUES('hello''foo"bar');