To není jen SQL injection. To je často třeba command line injection jak nám ukázala nedávná chyba v GITu. Já proto preferuju základní pravidlo !nikdy nelep stringy ručně!. Je lepší si napsat query builder (pokud nemohu použít prepared statements) a ten napsat tak, aby správně prováděl escapování a jakéhokoliv vstupu.
Vždycky mě drtí třeba dosazování argumentů třeba v bashi. Zkusit tam někdy poslat třeba uvozovku, to se člověk hned diví, co to dělá.
Nebo takový HTML injection ... lidi jsou pořád nepoučitelní.