Es necesario escapar una consulta cuando puede contener caracteres que resulten ambiguos para el lenguage de programación....

Si la consulta se genera integramente con textos que generas tu tendrás bien controlado cuando puede ser necesario (si va a haber ' apostrofes o " dobles comillas por ejemplo).

Si la query se construye apartir de datos entrados por el usuario es mucho mas necesario escapar puesto que no sabes lo que te van a poner... (si un usuario como username escribe pepito" OR "a"="a y no lo escapas bien la query de logueo puede acabar siendo

SELECT user FROM users WHERE password="flsdkjflkdjflsdj" AND username="pepito" OR "a"="a";

con lo que la seguridad puede quedar tocada...