mira, el otro día por aqui habian dado un "tip" para saber si un form estaba protegido ante sql inyection o no, este era simplemente escribir, por ejemplo en un campo de busqueda, <script>alert()</script>, si la ventana del alert se ejecutaba, pues el script que procesa el form no tiene restricciones... (ojo porque puede que tengas javascript deshabilitado y crees que tu sitio es seguro).

Para evitarlo ya te han dado varias funciones, aunque tambien puedes hacerlas "a mano" si es que no te gustan, por ejemplo y para empezar, puedes cambiar los <, >, ", ', por su codigo HTML de esa manera te evitas codigos html, javascript y, en menor medida, sql...

El tema de mostrar los errores es bastante tipico, como te han dicho, es bueno mostrarlos solo en la etapa de desarrollo, para no volvernos locos, pero luego, en mi caso, los anulo todos con la @ y un mensaje personalizado (via include) que simplemente dice "intenta nuevamente" (o similar), para que nadie sepa que es lo que ocurre...