Una forma muy sencilla de evitar el ' or 1=1 es hacer esto:

Replace(SQL, "'", "''")

Con eso evitamos que el SQL tome esa parte como independiente, y lo agrega a la propia comparación, pruébalo, verás que con eso se acabó el problema.