mariano, hay que vigilar otras cosas también como el cross-site scripting. en el link libros de mi firma tienes un documento sobre ésto.
y no te preocupes, una simple función para prevenir SQL Injection no retrasa la carga de la página. controlar eso a un procesador le cuesta nanosegundos.
un saludo.