Come è già stato suggerito innumerevoli volte, in questi casi conviene usare le query parametriche (fare una ricerca in proposito), evitando di inserire i valori direttamente nello statement SQL, che espone il programma a possibili problemi, errori e raggiri (vedi SQL injection).