Die Tatsache dass du den String so erhalten hast lässt ja schonmal hoffen
Zur Frage: Was soll verhindert werden?
Die Eingabe so einer Zeichenfolge kann man kaum verhindern. Es gibt leider böse Menschen und es gibt auch böse Menschen mit SQL Kentnissen und Internetzugang. Von irgendwelchen Javascript Validierungen würde ich abraten, das bringt nichts.

Was man natürlich verhindern kann ist, dass durch solche Eingaben Schaden angerichtet wird. Dafür ist eine sorgsame Prüfung auf Serverseite Pflicht. Jede Usereingabe muss als Angriffsversuch eingestuft werden und darf keinesfalls einfach so einer Datenbank übergeben werden. Geeignete Gegenmaßnahmen sind z.B. Datenbankabfragen mit Parametern. Um da genaueres sagen zu können, wäre ein Blick auf die relevante Stelle im Code praktisch.