Sir, proba poner como clave en tu sitio ( u otros ;) ) : ' or ''=' ( comillas incluidas eh ? )

Tu cadena sql quedaria :
"SELECT * FROM usuarios WHERE user= '' or ''=''" ... no ? entras como el 1er usuario que encuentre.

Lo que hace el Replace es reemplazar las comillas simples por 2 comillas, pero yo las elimino directamente con un Replace(variable,"'","") las reemplaza con nada.

Esta ? Saludos!!