Pero entonces si un usuario introduce interrogantes o acentos no se añadirian al mensaje :S

Tengo la duda de como evitar el sql injection pero que el usuario pueda escribir con total normalidad.