para evitar una inyeccion sql, desde el server sólo debes filtar las comillas simples y demás caracteres especiales SQL(# -- '), en el caso de javascript, filtrar el tag <script>, así evitas por ejemplo los alert colgados:

do(alert('bloqueado');)while(true);

y demás problemas con js