Ese código lo ejecutas antes de enviar la cadena al SQL. La idea es que el SQL no reciba caracteres que permitan el SQL Inyection.