las inyecciones sql las puedes trabar con addslashes
es un tema muy complicado el de la seguridad en sitios web y es algo que no se tiene muy en cuenta por gente que empieza. he visto sitios que manejan por url datos como las id de los usuarios y modificandolas puedes entrar a zonas de otros usuarios, etc.
yo dedico un buen tiempo a tratar de romper la seguridad en los sitios que haga y asi encuentro muchas fallas siempre que se me pasan, tambien es muy bueno que otra persona que sepa lo pueda vichar porque deseguro te encuentra algo que vos no vas a ver nunca.