使用sqlcommand里的参数即可,他把什么东西都封装在参数里面了,没有问题的,连单引号这些特殊字符都没有问题
sqlcommand comm = new sqlcommand();
comm.paremeters.add("@parteter1",你要的类型);
comm.paremeters["@parteter1"].value="任何都行";
comm.commandtext="insert into xxx values(@parteter1)";
comm.executenonquery();
哈哈,执行一切OK