si, la solucion es hacer q no pueda enviar esos caracteres.

yo utilizo unas funciones en javascript para que no incluyan ciertos caracteres, despues con onpaste="return false" hago ademas, no pueda pegar el codigo (La funcion en java es cuando ingresa caracter por caracter), y despues, hago en php otra validacion, pero no todo es seguro (Menos si viene de mi!) y por ahi, pueden pasar ciertos caracteres indeseables.

a lo que me referia es que, te muestran la forma en la cual te pueden hacer una SQL Injection, pero no te muestra como defenderte de una. Siendo que ellos saben mas que nadie (Creo) como hacer eso. Igual en internet esta todo todo!