NubasLol, Во первых, надо понимать что самым безопасным методом будет вышеуказанный - через подготовленные выражения, все остальные методы, выдающие строку sql для вставки будут менее безопасны априори. Вопрос не в качестве обработки строк перед вставкой, а в методах работы с запросом в целом, они абсолютно разные.
В случае прямого запроса вы отправляете базе строку, в которой бд должна распознать что является ключевыми словами и параметрами запроса, при этом порядок кавычек и экранирующих символов тоже обрабатывается как кусок запроса. В случае если строка содержит какие-то управляющие символы, не экранированные или не обработанные предварительно, бд обработает их как комманду, что собственно и есть инъекция.
В случае подготовленных выражений отдельно передается запрос, отдельно параметры, и строка sql не содержит в себе строк кроме комманд. Она заранее готовится сервером к исполнению, и только потом туда вставляются параметры(строки значений от пользовательского софта), которые уже не обрабатываются бд, а напрямую пишутся/читаются в нужных местах(рендеринг не происходит), по этому инъекции исключены.
Во вторых, google "sql injection safe query library", они не дают 100% гарантии, но среди них возможно найдется что-то что вас устроит.
