對付SQL Injection，換掉單引號到底夠不夠？

雖然現在遇到使用者輸入條件查詢DB，我一律都用參數化查詢（順推超好用的Dapper）不再偷懶組裝SQL指令，但關於SQL Injection，我心中始終藏著一個疑問：流傳千古的… WHERE Col = '" + input.Replace("'", "'...