Hombre, es lo que han hecho desde el inicio, pero a veces somos demasiado holgazanes como para estudiar un poquín. Pero bueno concretamente las variables $_POST['usuario'] y $_POST['password'], en el caso de SQL Injection es lo q debes asegurar. Algo como
Código PHP:
Ver original<?php
//LUEGO DE ESTO ENTONCES LA CONSULTA
$sql="SELECT * FROM tu_tabla WHERE usuario = '$login_usuario' AND password = '$password_usuario'";
//Y LO DEMÁS, MYSQL_QUERY, ETC ETC ETC
?>
Esto debería, en principio, escapar las comillas (q son mayormente las "problemáticas"), para asegurar las consultas. Lo del XSS es otra cosa