De primeras empieza a usar MySQLi o PDO (preferiblemente esta última) para las consultas a la base de datos, en el primer post de este subforo tienes el porque.

Para darle seguridad a las consultas lo que tienes es que "filtrar" cualquier dato que recibas por medio de POST o GET, y que se vaya a usar contra la base de datos por medio de WHERE.

En principio para las consultas "fijas" como la que muestras no debería de haber problemas, y otro consejo todas las consultas que hagas a la base de datos ponle el ";" al final, ya que con eso evitarías que se pudiera poner algo a continuación.