Согласно этому, экранирование все таки есть.
// api/Database.php:94
/**
* Экранирование
*/
public function escape($str)
{
return $this->mysqli->real_escape_string($str);
}
Ну а потом просто сделать поиск в папке
api, чтобы увидеть то, что эта функция используется.