Debes verificar que tienes antes de usarlo, sabes si lo que esperas es un número, y si es positivo o no, primero debes verificar si es así.
Luego si haces la sentencia sql y no trae datos, puedes mandar un error.
Pero antes de hacer la consulta debes tomar muchas medidas de precaución ya que como dices pueden colocar sentencias sql y estas no debes permitirlas.
Puedes buscar un poco en el foro, encontrarás mucha información de como verificar cadenas o datos ingresados por el usuario antes de ejecutar una sentencia sql.

Saludos