yo tengo un módulo de acceso a los datos, con las funciones definidas, pasando los parametros mediate: '" & nombre.replace("'","\'") &"', para los decimales y enteros (que no llevan comilla) tengo definidos controles personalizados, textboxnum y textboxdecimal que mediante javascript sólo permiten introducir números o números y . respectivamente, asi como, con un maxlength definido, pero de todas formas para el caso en que el usuario tenga desactivado javascript, en las funciones del módulo de bd, si debe entrar un número, hago, p.ej.

try
modulo.ModificarCantidad(Integer.Parser(textbox1.t ext))
catch ex FormatException
response.write("<script>window.alert(Valores incorrectos')</script>")
end try

para que tampoco se lo salte,

Iba ha hacer algo parecido para los string, es decir, crear un control, que devolviese automaticamente su valor con replace, pero obte por no hacerlo, ya que si el cliente tiene desactivado javascript lo tengo que hacer igual manualmente. Asi que de momento no se me ha ocurrido nada para evitarlo de forma generalizada.

Si utilizas SQL Server, no se como irá el asunto de la ', si será igual que en MySQL, compruebalo.

PD. Se van a negar a pagar un SSL y no una licencia de SQL Server???