mysql_stmt_bind_param ()

у приложение на C, которое принимает некоторые пользовательские данные и выполняет несколько запросов к базе данных. Я хорошо осведомлен о рисках внедрения SQL-кода и хочу предотвратить это.

В идеале я бы использовал параметризованные запросы, но пока не смог найти что-либо с этой функциональностью в Си. В настоящее время я строю свои запросы так:

char *query;
asprintf(&query, "UPDATE SomeTable SET SomeField='%s';", userInput);

Если я не могу сделать это, то мне нужно отфильтровать пользовательский ввод. Как сделать эту фильтрацию? Достаточно ли просто удалить все «и»? (Допустимые входные данные не могут их содержать). Если это так, какой самый простой способ сделать это в C?