Para reemplazar una comilla por 'nada', podés hacer algo así:

REPLACE (cTEXTO,CHR(034),"")

CHR(034) es el caracter correspondiente a la "

Con respecto a las validaciones client-side, utilizalas... Pero igualmente, para las cosas críticas, debés hacer comprovaciones server-side.

Una de las cosas que se me ocurre para evitar que alguien se construya su propio form (con el action hacia tu script) y así evitar las validaciones en el cliente mediante javascript, es validar desde que dominio se envió dicho formulario... un ejemplo:

<%
If Request.ServerVariables("HTTP_REFERER") <> "tu-dominio.com" then
Response.Write "Andate al carajo, gil! ;)"
End if
'resto del script que procesa TU form
%>

saludos