И опять мифическая «защита»…
Проснитесь люди, от «SQL-inj» надо не защищаться, это не угроза. Наличие SQL-дыр это простой баг. Хотите избежать, не допускайте ошибок в коде.
Каким путём вы передаёте данные в запрос дело ваше, можно даже с помощью bin2hex
SELECT * FROM `table`
WHERE `word`=0x4841434b454420425920564c4144534f4e;
(хотя есть способы и проще и логичнее)
Главное поймите что данные и то что SQL сервер воспримет за данные, это разные вещи.
Но перестаньте называть это защитой, это не защита, а просто «код без бага».
(Защита подразумевает угрозу которая существует даже в случае грамотного, как в случае с DDOS это вполне нормальные пакеты, только их много.)