Okram: muchas gracias por tu valiosa ayuda. En este momento estoy implementando los mysql_real_escape_string() en mis consultas.

Ahora para evitar que se ejecute

bastaría con los mysql_real_escape_string() o tendría que usar además un is_string() ya que los datos consultados pueden ser números, texto o ambos y en ocasiones pueden ser palabras separadas por un espacio o agrupadas con un signo + (mas)

Saludos y gracias por la ayuda.