En realidad, el problema es mejor controlarlo dentro de la aplicación y no dejarle la tarea a MySQL.
En este sentido, si lo que usas es PHP existe una solución simple, que es utilizar la función mysql_real_escape_string() que te permite hacer que se suplantes notos los caracteres potencialmente peligrosos dentro de la sentencia a enviar.
El ejemplo de esto lo puedes encontrar en este link: http://www.tizag.com/mysqlTutorial/m...-injection.php
Como podrás ver allí, el problema es que si te ponen dentro del TextBox algo así como ' OR 1' , con eso te matan, porque el primer caracter cierra el primero de los tuyos, y el OR 1 deja que todo lo demás se ignore...