元々、「'」や「"」を「\'」や「\"]に変換して回避するのって、CとかPerl、PHP、JAVAで「'」や「"」で文字や文字列の区切りとしてることからきてると思うんですよ。そんなわけで安易に「\'」や「\"]を使ってサニタイズ〜♪とか言っているのは間違いなわけで。
それぞれの処理系にあった方法を使わないといけないというのが、基本だと思う。SQLでは、「'」や「"」をそれぞれ、「''」、「""」にするとかね。
ちなみに一律こんな変換していると、2バイトコードではうまくいかないことがあるので注意が必要そう。2バイトコードの場合、意図せず文字列がぶった切られるとか、要らない文字が出てくるとかにもなりそうなので･･･。この点について検証&調査が必要だけどね。