O único caractere que precisa de escape em uma string é uma aspa simples (que é feita com duas aspas simples juntas). Caso contrário, é uma string e o t-sql não vai mexer mais com ela.

Se você estiver usando uma instrução LIKE, consulte este tópico SO Escape uma string no SQL Server para que seja seguro usar na expressão LIKE

Como um aparte, qualquer framework que não me deixe usar parâmetros, que não escape de coisas apropriadamente para mim, é uma parada difícil. Tentar limpar a entrada de string manualmente é como confiar no método pull-out; eventualmente ele vai te pegar.