SQLコマンドインジェクション自爆

掲示板のデータを DataTable クラスで処理しようとして、Select メソッドにコメント先の URL を含む値を渡したら

System.Data.SyntaxErrorException
構文エラー : '/' 演算子の前にオペランドがありません。

などと言われて終了。ダイレクト SQL コマンドインジェクションのことを何も考えていなかったという……。

サニタイズすれば良いのは分かっているのですが、どうサニタイズすれば良いのかしら。意味のある文字が、これまたえらくたくさんあるような気がしますが……。