Fonction standard pour échapper les chaînes de caractères en SQL

Question

Je suis en train d'écrire un programme en .NET2.0 et j'ai besoin d'échapper les entrées avant de les utiliser. Malheureusement, le système de méthode de paramètres standard ne fonctionne pas complètement dans le système que j'utilise. En utilisant la classe ODBCCommand, je ne peux pas placer un paramètre ? dans la partie select de l'instruction (ce qui est requis pour le petit tour que je fais) sans obtenir une erreur, donc je dois échapper manuellement les chaînes qui peuvent contenir ou non une apostrophe ('). Des suggestions ?

Édition - Exemple SQL :

Comme je le voudrais :

INSERT INTO TABLE_A (COLUMN_A, COLUMN_B)
SELECT (?, COLUMN_C)
FROM TABLE_B
WHERE COLUMN_D = ?

Comme c'est actuellement :

INSERT INTO TABLE_A (COLUMN_A, COLUMN_B)
SELECT ('VALUE_INPUT_HERE', COLUMN_C)
FROM TABLE_B
WHERE COLUMN_D = ?

Édition : Le pilote de base de données est Sybase ASE, via ODBC

Answer 1

Dim s As String = "Michael O'Flatley"
Dim escapedString as String = s.Replace("'", "''")

Answer 2

Vous pouvez analyser vos paramètres de chaîne avec cette fonction d'extension

public static string SqlEncode(string str)
{
    if (str == null) return String.Empty;
    return str.Replace("'","''");
}