Como seguridad adicional te recomiendo que uses consultas parametrizadas en lugar de componer el SQL en la página y lanzarlo desde ahí.

Mejor créate un componente (clase) de acceso a datos que sea el que utilicen todas tus páginas para acceder a la base de datos y pásale los parámetros correspondientes para ejecutar cada una de las consultas.

Espero que se entienda bien y que te sirva de ayuda.

Más info en este mismo foro