あなたはそれを見逃しています-バックスラッシュでエスケープすることは、クエリが不正な形式にならないようにすることを意味します。このようなものは確かに壊れて、SQLインジェクションのリスクを冒す可能性があります:
insert into table values ('whatever 'this' is')
テーブルには何も保存されませんが、これは次のとおりです。
insert into table values ('whatever \'this\' is')
値「whatever'this'is」をテーブルに保存します。