Buenas gente, a ver si pueden darme una mano. Necesito filtrar posibles inyecciones SQL en un campo de texto, texto que será almacenado en una base datos. No puedo filtrar las palabras reservadas de SQL por que son palabras que posiblemente se usen realmente como parte del texto, y he visto inyecciones sql que no usan comillas así que con escapar comillas no me es suficiente, además es posible que también se usen símbolos % -- etc, por lo cual no puedo filtrarlos.

Como puedo encarar el tema? hay alguna manera de que al concatenar la variable con el texto a la consulta de update o insert, mantener el texto tal cual evitando la inyección SQL?