Como seguridad adicional te recomiendo que uses consultas parametrizadas en lugar de componer el SQL en la página y lanzarlo desde ahí.
Mejor créate un componente (clase) de acceso a datos que sea el que utilicen todas tus páginas para acceder a la base de datos y pásale los parámetros correspondientes para ejecutar cada una de las consultas.
Espero que se entienda bien y que te sirva de ayuda.
Más info en
este mismo foro