El tema del sql inyection es que no te pongan en algun campo de entrada, tipo password, algo asi: a;drop databse
Lo mejor es hacer un control que no deja introducir simbolos raros en una cadena de texto(";"","".""-",etc) o anyes de hacer la consulta reemplazar estos caracteres por espacios o algo asi.-