De evitar inyecciones no sé mucho (por eso acabo de abrir un tema llamado seguridad de mi web en este foro) pero sí tengo entendido que para evitarlas se puede usar el mysql_real_escape_string()
Por ejemplo si tienes algo como esto:
Código:
mysql_query("SELECT email_usuario FROM usuarios WHERE nombre_usuario = '$usuario_get'");
.
coges y le pones el mysql_real_escape_string():
Código:
mysql_query("SELECT email_usuario FROM usuarios WHERE nombre_usuario = '".mysql_real_escape_string($usuario_get)."'");
.
¿No? Es que no lo tengo muy claro todo esto del SQL :S