Hogyan védjem meg az összes SQL Query-t egy oldalon Injection ellen?

Adott egy oldal. A tulajdonos még régen készíttette egy másik fejlesztővel. Tele van SQL Injectionnel az én feladatom kijavítani, de nem szeretnék egyesével végig menni a több ezer Queryn. Van egy function ami végzi az adatbázis kéréseket ennek egy $query paramétere. A $queryben az egész query ott van, ezért az escape string nem megy. Hogy lehetne ezt megoldani? Csak van egyszerűbb megoldás mint hogy végig menjek az egész oldalon. Tudom, már én is javasoltam a tulajdonosnak hogy egy új weboldal ésszerűbb döntés lenne, de ragaszkodik ehhez.