SQL-инъекция или Server.HTMLEncode или и то, и другое? Классический ASP

Люди говорят, что для предотвращения SQL-инъекции вы можете выполнить одно из следующих действий (среди прочего):

1. Подготовить операторы (параметризованные)
2. Хранимые процедуры
3. Экранирование пользовательского ввода

Я выполнил пункт 1, подготовив свои утверждения, но теперь мне интересно, следует ли мне также избегать всех вводимых пользователем данных. Кажется ли это пустой тратой времени, поскольку я подготовил утверждения, или это удвоит мои шансы на предотвращение?