Du mußt bedenken, das der SQL-Server das ganze SQL als String erhält. Wenn man also Hochkommas (und Anführungszeichen) nicht behandelt, werden sie als SQL interpretiert. Ein Hochkomma in Edit2.Text, würde den Stringwert abschließen. Der Rest würde dann wieder als SQL-Befehl ausgeführt werden. Das kann im einfachsten Fall zu Fehlermeldungen führen, oder aber von einem Anfreifer ausgenutzt werden, das SQL in seinem Sinne zu manipulieren.

Regards
Thomas