如何將用戶提供的輸入添加到SQL語句中？我試圖使用用戶提供的數(shù)據(jù)創(chuàng)建一個(gè)SQL語句。我使用的代碼類似于C#中的代碼：var sql = "INSERT INTO myTable (myField1, myField2) " +           "VALUES ('" + someVariable + "', '" + someTextBox.Text + "');";var cmd = new SqlCommand(sql, myDbConnection);           cmd.ExecuteNonQuery();在VB.NET中：Dim sql = "INSERT INTO myTable (myField1, myField2) " &           "VALUES ('" & someVariable & "', '" & someTextBox.Text & "');"Dim cmd As New SqlCommand(sql, myDbConnection)           cmd.ExecuteNonQuery()然而，當(dāng)用戶輸入包含單引號(hào)時(shí)，這將失敗。O'Brien),在插入日期時(shí)間值和人們一直告訴我，我不應(yīng)該這樣做，因?yàn)椤癝QL注入”。我該怎么做“正確的方式”？