Es mejor que verifiques siempre lo que escriben los usuarios antes de pasarlo a la base de datos. Ya sea tipos de datos o valores exactos posibles.

Se suele usar la función addslashes para, por lo menos, poner contrabarras delante de los carácteres que necesitan escaparse en situaciones como consultas de bases de datos. Con esto se puede evitar la inyección. (aunque no te puedo asegurar que sea 100% efectivo)