personalmente lo que hago para evitar SQL injection en mis web es reemplazar la comilla simple (') por éste caracter (`) que es muy parecido pero no interfiere en mis consultas.