esta instruccion en cada valor que se debe escapar
etc, agrega el caracter de escape a caracteres especiales evitando la inyeccion de codigo sql, otra buena y mejor opcion desde mi punto de vista es que usar procedimientos almacenados para ejecutar las consultas a la base de datos.