Entonces sí es complicado, la única forma de asegurar que la consulta se puede proteger es preparando todos los valores pasados.

Si no tienes acceso a ellos es imposible, porque básicamente tendrías que implementar una analizador de SQL, etc.

Básicamente lo que se hace mal desde el inicio cuesta mucho corregirlo después.