aqui hay mucha info y terminos que debes de tener en cuenta

http://www.forosdelweb.com/f18/seguridad-web-1004102/

mi recomendacion ante la inyeccion es usar alfanumericos y validar los datos de entrada como tal , en aquellos campos que no puedan ser alfanumericos los validas segun su tipo , es decir aplicamos en toda la web alfanumericos asi evitamos cualquier caracter extraño que no sea numeros o letras y evitamos asi muchas vulnerabilidades web de golpe