Buen dia,

La mejor manera de evitar el sql injection es comprobar los datos que recibe el script y asi mismo, escaparlos.

Tienes a tu dispocision las funciones:
preg_replace
mysql_real_escape_string

La forma de usar la funcion mysql_real_escape_string es unicamente pasar el dato a escapar, mas no toda la consulta.