Pedon que meta mi cuchara en esto, pues no soy tan entendido como ustedes (aun), pero se me ocurre, despues de leer esta definicion (http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL) de lo que es "SQL inyection" uno podria poner un mínimo y un maximo al numero de caracteres ingresados por el usuario no? como para no dar chance a que ingresen una sentencia SQL? peero como sé que debe haber otro "Camino para Roma", me gustaria saber cuales podrian ser las vulnerabilidades que creen ustedes pueda tener este metodo?... total de todo se aprende ;)

saludos!