Estoy escribiendo una aplicación C que toma algunos datos del usuario y hace algunas consultas a la base de datos. Soy muy consciente de los riesgos aquí de la inyección de SQL y deseo evitarlo.

Idealmente usaría consultas parametrizadas, pero hasta ahora no he podido encontrar nada con esta funcionalidad en C Actualmente estoy construyendo mis consultas como tal:

char *query;
asprintf(&query, "UPDATE SomeTable SET SomeField='%s';", userInput);

Si no puedo hacer esto, entonces debo filtrar la entrada del usuario. ¿Cómo debe hacerse este filtrado? ¿Es suficiente simplemente eliminar todas las 's' (las entradas válidas no pueden contenerlas)? De ser así, ¿cuál es la forma más fácil de hacerlo en C?