tcl suena a grupo hacker :P

Por lo que yo tengo entendido la mejor forma de evitalarlas es poniendo las variables globales a off del apache, y programando asi tu página, ademas en las consultas a sql que hagas con variables que se pasen por get, usar encadenamiento de variables para pasar las consultas "consulta= Selec * from tabla where nombre=".$_GET["nombre"];