Você deve considerar o uso de Declarações preparadas onde suas consultas SQL são pré-compiladas. Dependendo de onde seus dados estão vindo em primeiro lugar, isso também pode proteger contra injeções de SQL.

Outra vantagem de usar instruções preparadas é que você pode reutilizar a mesma instrução com parâmetros diferentes cada vez que a executa.