我可以通过使用单引号转义单引号和周围用户输入来防止SQL注入吗？

当然可以。为了防止SQL注入，您可以使用参数化查询或预编译的SQL语句。这些方法可以确保用户输入不会被解释为SQL代码，从而避免了潜在的安全风险。

例如，在Python中，您可以使用以下方法来防止SQL注入：

import sqlite3

conn = sqlite3.connect('example.db')
cursor = conn.cursor()

user_input = "O'Connor"

# 使用参数化查询
cursor.execute("SELECT * FROM users WHERE name=?", (user_input,))

# 或者使用预编译的SQL语句
cursor.execute("SELECT * FROM users WHERE name=:name", {"name": user_input})

# 获取查询结果
result = cursor.fetchall()

在这个例子中，我们使用了SQLite数据库，但是这些方法也适用于其他数据库，如MySQL、PostgreSQL等。

总之，使用参数化查询或预编译的SQL语句可以有效地防止SQL注入攻击，从而保护您的应用程序和数据库。