Abgesehen davon geht das auch kaputt, wenn die Nutzereingaben z. B. Single Quotes (') enthalten. Das ist bei Textfeldern gar nicht so unüblich, sprich, selbst wenn man Angreifer 100% ignorieren würde (was eine sehr schlechte Entscheidung ist), würden manche Nutzer über Fehler klagen, wenn sie aus ihrer Sicht normale Texte eingeben.
