最直接的解决方法是 通过将字符串串联在一起来构建sql,而是使用params。如果您使用的是sqlCommand,则可以执行以下操作,否则按照@MarcB的建议进行操作
sqlCommand cmd = new sqlCommand("INSERT dbo.Table (field1, field2, field3) VALUES (@f1, @f2, @f3)", conn);
cmd.Paramters.Add("@f1", sqlDbType.VarChar, 50).Value = "abc";
cmd.Paramters.Add("@f2", sqlDbType.Int).Value = 2;
cmd.Paramters.Add("@f3", sqlDbType.VarChar, 50).Value = "some other value";