учитывать ничего не надо.
Надо писать без дыр.
А это - сложнее, чем составить корректный SQL запрос, к сожалению.
Составление запросов можно описать насложным алгоритмом (что не мешает миллионам людей все равно не понимать смысла, и считать, что кавычки можно заменить плейсхолдерами, что достаточно прослешить данные и все, что слешить надо только то, что пришло от юзера и заблуждений таких миллион).
И если ему следовать, то ты гарантирован от ошибки и от sql-injection
Но вот составление безопасных проогамм, к сожалению, никак не формализуется.
Это надо уметь
Причем, если огромная армия пхп программистов (10%) знает самые азы - такие, как не инклюдить и не евалить то, что ввел юзер, определять переменную перед использованием - то более сложные материи и вовсе ускользают от пытливого ока.