如何将用户提供的输入添加到SQL语句中？我试图使用用户提供的数据创建一个SQL语句。我使用的代码类似于C#中的代码：var sql = "INSERT INTO myTable (myField1, myField2) " +           "VALUES ('" + someVariable + "', '" + someTextBox.Text + "');";var cmd = new SqlCommand(sql, myDbConnection);           cmd.ExecuteNonQuery();在VB.NET中：Dim sql = "INSERT INTO myTable (myField1, myField2) " &           "VALUES ('" & someVariable & "', '" & someTextBox.Text & "');"Dim cmd As New SqlCommand(sql, myDbConnection)           cmd.ExecuteNonQuery()然而，当用户输入包含单引号时，这将失败。O'Brien),在插入日期时间值和人们一直告诉我，我不应该这样做，因为“SQL注入”。我该怎么做“正确的方式”？