Защо искаш да направиш това? Правилният начин за изпращане на въведена от потребителя информация към базата данни не е да я избягвате, а да използвате параметри на заявката .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
Това осигурява по-добра производителност, тъй като текстът на заявката е винаги един и същ, така че планът за изпълнение на заявката може да бъде кеширан. Това също ви предпазва от атаки с инжектиране на SQL. Освен това ви позволява да игнорирате проблеми с форматирането на данните (например как се форматира DateTime в SQL-Server? Как трябва да представяте число в SQL? и така нататък)
