te doy funciones que te seran utiles lee sobre ellas y podras evitar la inyeccion

mysql_real_escape_string para escapar datos en una consulta ademas recomeindo acompañarlo con stripslashes o addslashes

strip_tags para escapar de un string etiquetas html y php
htmlentities o htmlspecialchars para retirar etiquetas html de un string
urlencode y urldecode para mandar datos mediante url

tambien para enteros int()

espero te sirva