это напрямую зависит от используемого драйвера, go database/sql за это не отвечает
https://golang.org/src/database/sql/sql.go?s=25224...
можно сделать "драйвер" который какраз "заменяет значение через эскейпинг" и привет иньекция
судя по плейсхолдеру это у вас mysql, если используете go-sql-driver то все ок
https://github.com/go-sql-driver/mysql/blob/master...
https://github.com/go-sql-driver/mysql/blob/master...
он использует "подготовленный" запрос, на сервер "отдельно" уйдет запрос и отдельно данные, в запрос ничего драйвер не запихает