Pero .. tu buscador textualmente deja que el usuario escriba "SQL"? ..
O lo basas en base a factores como "cierto campo" y cierta tabla de tu BD .. para las busquedas filtradas?
Lo que debes generar son links tipo:
buscar.php?por_campo=valor&buscar_termino=valor
para que luego en función de esos parámetros compongas tu SQL en el script PHP (no que se lo dés en el URL):
Código PHP:
$sql="SELECT * FROM tabla WHERE ".mysql_escape_string($_GET['por_campo'])." LIKE '%".mysql_escape_string($_GET['buscar_termino'])."'%";
La función mysql_escape_string() justamente evita algunos problemas de "SQL inyection" para que no se pueda ejecutar ahí más SQL del que tu quieres.
A todo esto .. tienes como un médio más seguro para "propagar" datos entre tus scripts de tu aplicación las sesiones (
www.php.net/session) . Datos que permanecen en el servidor .. pero igualmente en algún momento se los "envias" por el URL (tampoco es seguro esto .. la primera instancia podría ser igualmente "alterada" no así las subsiguientes peticiones).
Un saludo,