如何传递单引号(')从用户输入到存储过程，避免SQL注入

使用参数化查询。例如,

var command = new SqlCommand("select * from person where firstname = @firstname");
SqlParameter parameter  = new SqlParameter();
parameter.ParameterName = "@firstname";
parameter.Value= "D'Jork";
command.Parameters.Add(parameter);

可以使用参数化查询。单引号由它们处理。

你可以在:Link

您可以使用SqlCommandBuilder.QuoteIdentifier(/* params */):

var sqlCommandBuilder = new SqlCommandBuilder();
var sqlCommand = string.Format("EXEC dbo.SomeProcedure '{0}'",
                         sqlCommandBuilder.QuoteIdentifier("Jack's name"));
// futher sql command process

更多关于msdn。

你需要把它翻倍:

INSERT INTO myTable(text) VALUES ('I don''t like this!')

但正如之前的海报所说…使用参数更好，因为它更安全。

虽然在调用存储过程之前将单引号替换为双引号也应该可以工作，但类似这样的操作也可以工作:

@ phase = '测试"一个"B"C"——测试"可能会'C

但是如果你不想这样做，你也可以尝试使用

Use SET QUOTED_IDENTIFIER OFF

在点击查询之前也可以工作，但请记住，在许多情况下我们需要打开QUOTED_IDENTIFIER