El único carácter que debe escaparse en una cadena es una comilla simple (que se hace con dos comillas simples juntas). De lo contrario, es una cadena y t-sql no se preocupará más.
Si está utilizando una instrucción LIKE, consulte este tema SO Escapar de una cadena en SQL Server para que sea seguro usarlo en expresiones LIKE
Aparte, cualquier marco que no me permita usar parámetros, que no me escape correctamente, es una parada difícil. Tratar de desinfectar la entrada de cadenas manualmente es como confiar en el método de extracción; eventualmente te atrapará.
