Wenn Inhalte nicht nur von dir kommen, sondern auch von anderen (die sowas wie ' oder " verwenden), müssen die Zeichen natürlich dem Kontext entsprechend behandelt werden.
Wenn man nicht vollständig ausschließen kann, dass der geschriebene Code in irgendeiner fernen Zukunft mit Strings gefüttert wird, die nicht vom Programmierer selbst stammen und wenn man nicht vollständig ausschließen kann, dass man selbst an einer Stelle "1000 Zeilen über der Abfrage" oder gar in einer anderen Datei dann Strings notiert, die plötzlich einer Behandlung bedürfen, sollte stets man alle Variablen in SQL-Statements „behandeln“.
Also fast immer.