Строковые параметры, которые передаешь в SQL запрос из скрипта, обрабатывай функцией mysql_real_escape_string. Те параметры, которые должны быть целочисленными, приводи к типу int. После этого инъекций не будет.