Debería considerar usar Declaraciones preparadas donde sus consultas SQL están precompiladas. Dependiendo de dónde provengan sus datos en primer lugar, esto también puede protegerlo contra las inyecciones de SQL.
Otra ventaja de usar declaraciones preparadas es que puede reutilizar la misma declaración con diferentes parámetros cada vez que la ejecuta.