hola:
yo no soy experto en seguridad ni tampoco en PHP. Pero te puedo comentar que siempre tenes que tener cuidado con utilizar datos de usuarios en alguna ejecucion directamente. Por ejemplo, que pasaria si el usuario ingresa algo del estilo:
' or campo = 'dame todo
El usuario en lugar de ingresar datos, est a ingresando codigo.
Tu consulta quedaria:
$sql="SELECT * FROM tabla WHERE campo LIKE '%' or campo = 'dame todo%'";
Tal vez este caso no sea muy ejemplar, pero imaginate las cosas que te podrian hacer.