Keine Hochkomma stimmt nicht.
Es kommt aber auf die Syntax des jeweiligen DBMS drauf an.

Denn es gibt verschiedene "Hochkomma" ... " ' ´ ` usw.
und die werden unterschiedlich verwendet, also entweder für "Strings" oder eben auch für "Namen".


Derartige zusammengebaute SQLs verleiten doch nahezu zu SQL-Injections?
Es gibt garantiert irgendwo in den verwendeten Zugriffskomponenten entsprechende Funktionen zum "Quoten und Escapen" von Werten/String und von Bezeichnern, welche man bei sowas besser auch verwenden sollte.

Und wenn auch ständig immerwieder welche QuotedStr verwenden, so ist das doch eigentlich falsch, denn das ist für "Pascal-Strings" und nicht für "SQL-Bezeichner", welche nahezu immer einer komplett anderen Syntax unterliegen.