Como primera medida, ponle el terminador de sentencia a la query en MySQL. Es el punto y coma (; ).
De ese modo cualquier cosa que le agreguen a la query quedará fuera de ella y disparará un error de sintaxis.

Luego, si quieres seguridad, No hagas consultas directas. Usa Stored Procedures, que son invulnerable al sql-injection.