Te recomiendo que uses una funcion tipo replace, expresiones regulares y demas para evitar las inyecciones SQL (toy hasta las narices de tanto anglicismo) tal como se hace en PHP (stripslashes, get_magic_quotes_gpc, etc) que evitan los !"#$%&/ etc etc

El usuario podrá seguir usandolos, pero tu los conviertes a \! \" \' etc etc

He probado todos esos caracteres en uno de mis backend hechos con ASP y MySQL y ni un problema. Revisa la version de MS SQL que usas



Un saludo