Claro, insértalo usando stored procedures.

Seguramente estás armando código dinámico, lo que te hace presa de los SQL Injections. No solo harás que cause error por el string mal formado, sino que tienes agujeros abiertos para que alguien con curiosidad inserte código SQL dentro de tu programa con distintos fines.

Lee este enlace:
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL