Satu-satunya karakter yang perlu diloloskan dalam string adalah tanda kutip tunggal (yang dilakukan dengan dua tanda kutip tunggal bersama-sama). Jika tidak, ini adalah string dan t-sql tidak akan mempermasalahkannya lagi.
Jika Anda menggunakan pernyataan LIKE, lihat topik SO ini Escape string di SQL Server sehingga aman digunakan dalam ekspresi LIKE
Selain itu, kerangka kerja apa pun yang tidak memungkinkan saya menggunakan parameter, yang tidak lolos dengan benar bagi saya, adalah perhentian yang sulit. Mencoba membersihkan input string secara manual seperti mengandalkan metode penarikan; akhirnya dia akan menangkapmu.
