Realmente solo con eso evitas toda inyección sql posible?, no he tocado apenas ese tema, pero me sorprende bastante, que hace esa función exactamente y como funciona para hacer eso posible sin ninguna otra medida?