proč to chceš udělat? Správný způsob, jak odeslat uživatelský vstup do databáze, není uniknout mu, ale použít parametry dotazu .
using(var command = new SqlCommand("insert into MyTable(X, Y) values(@x, @y)", connection))
{
command.Parameters.Add("@x", textBoxX.Text);
command.Parameters.Add("@y", textBoxY.Text);
command.ExecuteNonQuery();
}
To poskytuje lepší výkon, protože text dotazu je vždy stejný, takže plán provádění dotazu lze uložit do mezipaměti. To vás také chrání před útoky SQL injection. A také vám umožňuje ignorovat problémy s formátováním dat (např. jak se formátuje datum a čas na serveru SQL? Jak byste měli reprezentovat číslo v SQL? a tak dále)