L'unico carattere di cui è necessario eseguire l'escape in una stringa è una virgoletta singola (che viene eseguita con due virgolette singole insieme). Altrimenti, è una stringa e t-sql non si occuperà più di essa.
Se stai utilizzando un'istruzione LIKE, consulta questo argomento SO Esegui l'escape di una stringa in SQL Server in modo che sia sicuro da usare nell'espressione LIKE
Per inciso, qualsiasi framework che non mi consente di utilizzare parametri, che non sfugge correttamente alle cose per me, è un arresto difficile. Cercare di disinfettare manualmente l'input delle stringhe è come fare affidamento sul metodo pull out; alla fine ti prenderà.
