Una pequeña recomendación a todos para evitar los ataques de inyección sql es que os acostumbreis ha relizar todas las consultas a vuestras bases de datos parametrizadas.

Evitareis que los usuarios sean los responsables de generar codigo dentro de vuestrar consultas.

Un saludo.