lo mejor es usar la funcion mysql_real_escape_string($variable) en todas las variables introducidas por el usuario que vallas a usar directamente en una consulta de la BD.
Por ejem.
mysql_query("SELECT * FROM tabla WHERE usuario='".mysql_real_escape_string($_GET['usuario'])."' LIMIT 1");