no es necesario, ni controlar las @ ni los caracteres de comentarios -- ni las temidas comillas.

Si creas una funcion que admite parámetros estos datos se introducen como texto, nunca son interpretados como parte de programación sql. Esto es así a menos que tengas sql dinamico dentro de la funcion.