bh le soluzioni sono due ..

o metti un controllo e fai tornare una pagina di errore che avvisa che certi caratteri non possono essere utilizzati, oppure nella pagina della query, prima di passare il parametro in query gli fai un replace al testo "[" con nulla