Du solltest dir angewöhnen deine Werte, speziell wenn sie vom Benutzer kommen, in den SQL-Kontext zu übertragen (, um SQL-Injection zu verhindern).

Auch be gewöhnlichen, nicht böswilligen Anfragen an den Server können Daten ankommen, die speziell zu behandelnde Zeichen beinhalten. Escaping ist nicht primär da um Injections zu verhindern.