Mengapa Anda ingin melakukan itu? Cara yang benar untuk mengirim input pengguna ke database bukan dengan menghindarinya, tetapi menggunakan parameter kueri .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
Ini memberikan kinerja yang lebih baik, karena teks kueri selalu sama sehingga rencana eksekusi kueri dapat di-cache. Ini juga melindungi Anda dari serangan injeksi SQL. Dan itu juga memungkinkan Anda untuk mengabaikan masalah pemformatan data (misalnya, bagaimana DateTime diformat dalam SQL-Server? Bagaimana seharusnya Anda merepresentasikan angka dalam SQL? dan seterusnya)
