Du musst, wenn du nicht mit Parametern arbeitest, die Strings aber unbedingt escapen, da man sonst sehr leicht SQL-Injections machen kann! Wenn du dies tun würdest, hättest du auch das Problem mit dem Apostroph nicht.

Was unter Delphi die Standard-Methode zum escapen ist, weiß ich nicht, vielleicht ist QuotedStr ja schon die Lösung.

Würde dir aber auch eindeutig zu der Parameter-Variante raten... damit bist du zu 100% sicher unterwegs und gewinnst außerdem eine Menge Übersicht.