Игнорировать одиночные кавычки в C#

Question

В моей программе у меня есть даного ......

ct = String.Format(@"select [Movie Selector] from WSTMDS3 
      natural prediction join 
      (select 

      '{0}'as[Age], 
      '{1}'as[Education Level], 
      '{2}'as[Gender], 
      '{3}'as[Home Ownership], 
      '{4}'as[Internet Connection], 
      '{5}'as[Marital Status] 

      )as MovieSelector", 
      TextBox1.Text, 
      DropDownList1.SelectedValue, 
      DropDownList2.SelectedValue, 
      DropDownList3.SelectedValue, 
      DropDownList4.SelectedValue, 
      DropDownList5.SelectedValue) 
       ; 

Но в DropDown list1 «Уровень образования» у меня есть какое-то значение, как этот Master»Степень , как я может использовать одинарную цитату »в этом статусе.

благодарит

Answer 1

Вы не должны использовать string.Format строить свои запросы. Вы должны использовать параметризованные запросы.

adomdCommand.CommandText = "SELECT ... @P1 ..."; 
adomdCommand.Parameters.Add(new AdomdParameter("P1", TextBox1.Text)); 
// etc.. 

Связанные

• How do parameterized queries help against SQL injection?
• Adding Adomd parameters programmatically C#

Answer 2

Использование SqlCommand и SqlParameter. Пример

SqlCommand sqlCom=new SqlCommand(); 
sqlCom.CommandText=@"select [Movie Selector] from WSTMDS3 
     natural prediction join 
     (select 

     @P0 as[Age], 
     @P1 as[Education Level], 
     @P2 as[Gender], 
     @P3 as[Home Ownership], 
     @P4 as[Internet Connection], 
     @P5 as[Marital Status] 

     "; 
sqlCom.Parameters.AddWithValue("@P0",TextBox1.Text); 

Answer 3

Помимо использования параметризованных запросов - метод побега одинарных кавычек в синтаксисе T-SQL является их вдвое.