Die übrigen Daten kommen, wie es aussieht, aus einer anderen DB Abfrage, deswegen erwarte ich, dass sie bereits plausibilisiert und vom Schabernack der Nutzer befreit sind.

Auch hygienische Daten können SQL-Sonderzeichen enthalten und eine Query so kaputt machen.

Deswegen auch meine Forderung nach einer fachlich sinnvollen Typisierung von Datenbankspalten. In eine INT oder DECIMAL Column bekommst Du keine SQL Injection hinein.

Du bekommst keinen SQL-Code aus diesen Spalten heraus. Bei Schreib-Vorgängen müssen die Werte trotzdem maskiert werden.