Det enda tecken som behöver escape i en sträng är ett enstaka citattecken (vilket görs med två enkla citattecken tillsammans). Annars är det en sträng och t-sql kommer inte att krångla med den längre.
Om du använder ett LIKE-uttryck, se detta SO-ämne Escape en sträng i SQL Server så att den är säker att använda i LIKE-uttryck
Dessutom är varje ramverk som inte låter mig använda parametrar, som inte flyr saker ordentligt för mig, ett svårt stopp. Att försöka sanera stränginmatning manuellt är som att förlita sig på utdragningsmetoden; så småningom kommer det att ta dig.