1º No lo hagas capturando el evento de teclado. Espera a cuando se vaya a enviar el formulario y antes de enviarlo haces un replace.

Pero no, no hagas eso tampoco!

2º No lo hagas en Javascript, en el cliente. Hazlo en el lado del servidor. Cualquiera puede tener desactivado Javascript o enviarte un ' a propósito.


3º No sustituyas ' por ´. Lo que debes hacer es escapar los caracteres problemáticos. Es decir, que a. en lugar de sustituir por ´ usa \' (...WHERE campo = 'L\'HOSPITALET'); y b. No lo hagas sólo para '. Lo que tienes que hacer realmente es filtrar todos los caracteres problemáticos.