Añade este codigo con un include al inicio de las paginas que hagan cualquier consulta:
Código PHP:
//Evitar SQL Injection (Seguridad)
foreach ($_POST as $key => $value) { $_POST[$key] = mysql_real_escape_string($value); $_POST[$key]=str_ireplace("concat_","concat-",$_POST[$key]); $_POST[$key]=str_ireplace("_concat","-concat",$_POST[$key]);}
foreach ($_GET as $key => $value) { $_GET[$key] = mysql_real_escape_string($value); $_GET[$key]=str_ireplace("concat_","concat-",$_GET[$key]); $_GET[$key]=str_ireplace("_concat","-concat",$_GET[$key]); }
Escapa cualquier variable pasada por post o get, y ademas evita otro tipo de inyeccion con la funcion concat de mysql