algo importante es tb chekear si realmente esos datos son los necesarios... ejemplo... si hay un campo name_user, deberia ser letras y numeros... nunca simbolos extraños... como mucho _ o -, saben lo que digo...

si el campo es una fecha... pues los datos tienen que ser solo numeros y asi sucesivamente...

por ultimo... si ya sabemos el codigo maligno... podemos hacer con expresiones regulares una busqueda de esas cadenas de texto... para asi poder bloquear el codigo...

un saludo...