ich halte davon nur wenig. Doppeltes Zeug im Code zu haben ist nie gut. Und eine Whitelist ist auch nicht so doll weil du ja im Grunde einen SQL Parser nachprogrammieren müsstest um zu sehen ob die Query schädlich ist. Dabei hast du bereits einen SQL Parser.

Auch PHP kann Prepared Statements: http://php.net/manual/de/pdo.prepared-statements.php => benutze sie