O ideal é que você nunca estar usando porque consultas parametrizadas (através do PDO ou mysqli ) são a maneira correta de evitar a injeção de SQL.
