Karakter escape adalah ', jadi Anda perlu mengganti tanda kutip dengan dua tanda kutip.
Misalnya,
SELECT * FROM PEOPLE WHERE SURNAME='O'Keefe'
menjadi
SELECT * FROM PEOPLE WHERE SURNAME='O''Keefe'
Yang mengatakan, itu mungkin salah untuk melakukan ini sendiri. Bahasa Anda mungkin memiliki fungsi untuk menghindari string untuk digunakan dalam SQL, tetapi opsi yang lebih baik adalah menggunakan parameter. Biasanya ini berfungsi sebagai berikut.
Perintah SQL Anda adalah:
SELECT * FROM PEOPLE WHERE SURNAME=?
Kemudian, ketika Anda menjalankannya, Anda memasukkan "O'Keefe" sebagai parameter.
Karena SQL diurai sebelum nilai parameter ditetapkan, tidak ada cara bagi nilai parameter untuk mengubah struktur SQL (dan bahkan sedikit lebih cepat jika Anda ingin menjalankan pernyataan yang sama beberapa kali dengan parameter yang berbeda).
Saya juga harus menunjukkan bahwa, sementara contoh Anda hanya menyebabkan kesalahan, Anda membuka diri terhadap banyak masalah lain dengan tidak keluar dari string dengan tepat. Lihat http://en.wikipedia.org/wiki/SQL_injection untuk titik awal yang baik atau komik xkcd klasik berikut .
