Sigue siendo problema de programación de aplicaciones. No de Bases de Datos.

No puedes controlar desde SQL el problema de SQL injection, porque cuando mandas a ejecutar la sentencia, el SQL injection entra directamente. Lo debes resolver en la aplicación. Lo único de SQL que puedes usar para algún tipo de control es Stored Procedures... Porque colapsan cuando intentas meter SQL injection en un parámetro.

Si estás programando en PHP: Foro de PHP.
Si estás programando en PHP y quieres las funciones de control en PHP: Manual on-line de PHP: mysql_real_escape_strings.

Si estás programando en ASP: Foro de ASP.
Si estás programando en .Net: Foro de .NET