Ale tam nejde o to, jak se ten dotaz tvoří. Tam jde o to, že jako parametr nasype něco, co změní význam příkazu. Takže tohle si dělej jak chceš, ale musíš zajistit, že se dovnitř nedostane závadný parametr.
Ono i kdybys prošel string s paramtrem ve smyčce a apostrofy nahradil třeba \047 a uvozovky \042 (dle ASCII), tak ti to nepozmění příkaz a maximálně vrátí, že nic nenašel. A pokud stejnou funkcí "filtruješ" data při ukládání, tak ty nebezpečný znaky můžeš normálně a neškodně používat v dotazech.
Pokud na omezení takové zranitelnosti stačí jeden cyklus a jeden switch pro náhradu některých znaků, tak by za vykecání osobních údajů pomocí SQL Injection měly automaticky padat maximální flastry, co GDPR dovoluje.