Om du använder korrekt parametriserade uttalanden , du borde inte behöva oroa dig för det. Något liknande detta (men snälla lär dig inte C#-tekniker av mig):
string sql = @"UPDATE dbo.table SET col = @p1 WHERE ...;";
string myString = @"hello'foo""bar";
SqlCommand cmd = new SqlCommand(sql, conn);
cmd.CommandType = CommandType.Text;
SqlParameter p1 = cmd.Parameters.AddWithValue("@p1", myString);
cmd.ExecuteNonQuery();
(Även om du egentligen borde använda lagrade procedurer.)
Om du bygger dina strängar manuellt (vilket du verkligen, verkligen, verkligen inte borde göra), måste du undvika strängavgränsare genom att dubbla dem:
INSERT dbo.tbl(col) VALUES('hello''foo"bar');