Лично, используете ли вы ContentValues или регулярные SQLiteDatabase запросы, вы не можете быть на 100% защищены от SQL-инъекций.
С учетом вышесказанного, если вам удобно использовать ContentValues, лучше избегать ввода любого пользователя или если вы хотите использовать SQLiteDatabase запросов, посмотрите SQLiteQueryBuilder , это помогает структурировать ваш запрос.
Если бы Android предлагал параметризованные запросы, которые могли бы быть эффективными для защиты от инъекций. До тех пор нам придется подождать и найти альтернативы.