Det eneste tegn, der skal escapes i en streng, er et enkelt citat (hvilket gøres med to enkelte citater sammen). Ellers er det en streng, og t-sql vil ikke bøvle med den.
Hvis du bruger en LIKE-sætning, kan du se dette SO-emne Escape en streng i SQL Server, så den er sikker at bruge i LIKE-udtryk
Som en sidebemærkning er enhver ramme, der ikke lader mig bruge parametre, som ikke undslipper ting ordentligt for mig, et svært stop. At forsøge at rense strenginput manuelt er som at stole på pull out-metoden; til sidst vil det få dig.