Ce inseamna petru tine "metoda add to value"? Si de ce suna asta ca tema pe care o ai de facut la cursul "Baze de date"?
In general esenta evitarii injectiei SQL e sa folosesti prepared statements. E o idee rea sa permiti user-input sa fie interpretat ca si cod. Prepared statements rezolva esenta problemei prin separarea "fizica" a codului si a datelor.