Es escapar correctamente las variables que ingresas a las querys, comprobar que no contengan caracteres no deseados (comillas simples/dobles, punto y coma, y muchas cosas mas... fijate en OWASP que tienen un script para esto o utiliza mysql_real_scape() de PHP).