iakio さんから Patch を修正したとの連絡をいただきましたので、3月5日の日記に追記しました。もし、以前に Patch を適用していた場合は再度適用し直しておいた方が良いと思います。また、この Patch は PostgreSQL の CVS にコミットしていただいたそうですので、次のバージョンからはこの問題は解消されると思われます。
Patch を適用して、PostgreSQL 専用のエスケープ関数(pg_escape_string(), pg_convert()など)を使用しておけば、PostgreSQL 側でエラーになり、SQL が実行されなくなるため、クライアントエンコーディングを SJIS にしていても SQL インジェクションを起こすことはできなくなると思います。ただし、addslashes() の問題は解消されませんので注意してください。

• iakio日誌(2006-03-09)
• iakio日誌(2006-02-15)
• PostgreSQL の CVS(該当部分)