Para evitar el sql injection tienes varios métodos en PHP. Uno de ellos, y creo el más seguro es usar la función mysql_real_escape_string():
Código PHP:
$uno = mysql_real_escape_string($uno);
$dos = mysql_real_escape_string($dos);
$datos = mysql_query("SELECT campo1,campo2 FROM tabla
WHERE uno = '$uno' AND dos = '$dos' ORDER BY campo3 DESC");
Date una vulta por este tema:
http://www.forosdelweb.com/f18/sufic...on-sql-545675/
Un saludo,
