Hur ersätta ' med '' korrekt i en SQL-sats? [C#]

Jag har en BaseDataManager som ärvs av massvis av andra klasser (WebDatamanager, etc.). I BaseDataManager finns en funktion, typ ExecSQLCommand(string sql), för att exekvera SQL-kommandon mot databasen och returnera ett dataset. Till ExecSQLCommand kommer alltså färdigkonstruerade SQL-kommandon, redo att köras.

Problemet är att användarna ibland skriver in en ', vilket gör att satsen kraschar. Finns det något enkelt sätt att undvika detta, förutom att ersätta ' med '' i alla inargument i alla funktioner i alla sub-Datamangerns (handlar om hundratals...)?

Jag söker en tvärsäker funktion som fixar strängar som:
EXEC myStoredProcedure @name='Sinead O'Connor', @i=3

Mycket tacksam för tips!

Ingen?

Rätt så kört. Du kommer ju aldrig kunna veta om du parsat korrekt om nån användare skriver in en riktigt skum sträng som innehåller @ , = och liknande.

Jag kan inte just C#, men det du letar efter är en escapefunktion, som ersätter alla specialtecken i strängen med escapesekvenser.

Jag är inte någon expert på detta, men det mesta jag har läst antyder att Rätt Sätt<tm> är att bygga parameteriserade frågor snarare än att köra strängen genom en escape-funktion.

Är inte hundra på att det hjälper men istället för att köra


så kan du ju köra


Det kan lösa ditt problem... Nu har jag skrivit koden ovan från huvudet så den är nog inte direkt körbar men på ett ungefär