Has de mirar la cadena del usuario y quitar esas comillas porque sino te podrían hacer un ataque mediante SQL (SQL Injection).

Tendrías que tener una tabla con los tokens (palabras o carácteres) prohibidos. Antes de lanzar cualquier sentencia SQL tendrías que hacer un "buscar&reemplazar" de esos tokens en la cadena del usuario.