В основном вам нужно использовать функцию htmlspecialchars()
всякий раз, когда вы хотите вывести что-то в браузер, который поступает с пользовательского ввода.
Правильный способ использования этой функции что-то вроде этого:
echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
В Google Code University также есть эти очень образовательные видеоролики в Интернете:
Что-то вроде
string prodSKU = TextSKU.Text.Trim();
List<string> skuList = prodSKU.Split(new char[] { ', ' }).ToList();
var results = from c in db.Products
where c.is_disabled ==false
&& c.dom >= startDate
&& c.dom <= endDate
&& skuList.Any(sl=>c.sku.StartsWith(sl))
select c;