Que yo sepa, no existe una forma "estándar" de hacerlo.
Sugiero enfáticamente usar declaraciones preparadas a pesar de sus preocupaciones actuales. El impacto en el rendimiento será insignificante:tenemos una situación similar con varios miles de declaraciones por segundo, la mayoría de ellas también one-shots.
La seguridad que obtiene debe pesarse mucho más que un problema de rendimiento que aún no ha visto. En mi opinión, esta es una situación clara de "No optimizar prematuramente".
En cualquier caso, si realmente descubre más tarde que tiene problemas de rendimiento, asegúrese de que las sentencias preparadas sean realmente la causa perfilando cuidadosamente y luego busque alternativas. Hasta entonces deberías ahorrarte la molestia de tratar de escapar correctamente.
Esto es aún más importante ya que infiero que está desarrollando algún tipo de sitio público:las aplicaciones internas rara vez obtienen suficiente tráfico como para preocuparse por el rendimiento de todos modos.
