调试易

表TABLE
ID in number(10)
NAME in varchar(50)
TABLE(ID,NAME)public string fun(int p_id,string p_name)
{
string sql = string.Format("insert into AAAAAA(id,name)values(:iid,:iname)");
 OracleParameter[] parameters ={
                new OracleParameter(":iid",OracleType.Number),              
                new OracleParameter(":iname",OracleType.VarChar)                        
                         };
           parameters[0].Value = p_id;
           parameters[1].Value = p_name;
........
}
我只是想做些特别的插入如 ' < > ? \ ~ ! @ # $ % ^ & *.....
插入这写特殊字符， 像 ' 就是数据库有害字符,但是我想插入，
用拼SQL加占位符这样是能写进去 ，但是我想用包里的函数插入。请教一下这个函数怎么写？参数怎么写？function fun_Table( ?   in number,   ?   in varhcar2)returen number is
result number(10);
iid number(10);
Begin  
 Select pro_id.Nextval Into iid From dual;
 insert into Table(id, name)values( ? ,  ? );
Result := v_id;
Return Result;
end;各位前辈知道麻烦回复一下，因为是 B/S开发，我讨厌用js去过滤有害的字符，但是整个项目是用orale函数的，
DAL层里不想用这样拼SQL的方法。然后是什么文章啊，那天要用 ' 这样的符号了，我也真不知道怎么写了。
请教了 。