El control del sql injection no lo puedes hacer en un trigger por cuanto el trigger se produce ante un evento sobre tabla cuando ya ese está ejecutando la sentencia y no antes, que es donde verdaderamente debes evitarlo.
Si estás usando PHP, tu solución es usar una función específica que evita estas cosas:
mysql_real_escape_string.
Echale una mirada a este link: Como evitar SQL Injection
Y a este: SQL Injection