Hola,
Código:
$tabla = 'tabla VALUES (10000); -- ';
$dato = explode(' ', $tabla);
if (!strpos('tabla1 tabla2 tabla3', $dato[0] + ' ') {
echo 'Me estas tomando el pelo?';
exit();
}
$texto = "INSERT INTO $dato VALUES (100)";
$texto = mysql_real_escape_string ($texto);
echo $texto;
....
No hay funciones mágicas, es tu puro conocimiento e imaginación para resolver los problemas informáticos. Aunque evidentemente en el ejemplo el principal error es usar una variable recibida del usuario como nombre de la tabla.
Saludos.
ps:
El ejemplo puede contener errores, es puramente demostrativo. Si no pudiste resolviste el problema anterior de alguna forma tu mismo usando funciones como
strpos(), que no hay otra forma, entonces queda completamente aclarado mi punto.