Hay muchas formas de gestionar el problema, pero dos son las más simples, y que debes manejar desdeel principio: Programáticamente (en la aplicación) y en la base por stored procedures.
1) Programáticamente, todos los lenguajes que operan en web, como el PHP, tienen funciones y recursos para gestionar precisamente eso: el sql-injection. Aprovéchalos.
2) A nivel de base de datos, uno de los medios más seguros es usar stored procedures, ya que como lo único que peuden recibir son parámetros, es decir valores reales, cualquier otra cosa que se quiera meter en ellos genera un error de ejecución.