cuando tu incluyes una variable asi:

$consulta = "select * from tabla where id=\"". $variable."\"";

Pues $variable deberias ponerlo asi:

mysql_real_escape_string($variable)

Yo tambien estoy empezando pero creo que esto es lo más básico en proteccion, frente a Inyecciones SQL.

Si estoy equivocado, que alguien me corrija.

Saludos.