Acabo de leer las 3 partes de la guia, y en la 2 explica lo del codogo, pero de nuevo estoy en la misma, mas o menos entiendo lo que es la inyeccion y que si filtro caracteres no va a pasar, pero lo que no quiero es limitar al usuario a que no use esos caracteres.

Osea pensava en que el usuario pueda usar los caracteres que pueda, y informarle al sql que es un string y no pueda inyectarme codigo.