beh si certo, puoi evitare, se ad esempio utilizzi questa funzione per un'autenticazione, che ti scrivino stringhe in grado di aggirare il controllo che fai tramite query sulla vera esistenza di user e password.