Hay muchos mensajes en el foro al respecto.

Entre ellas, validar las variables correctamente. Yo prefiero en vez de pasar todas por una criba, que cada una pase por una validación concreta.

Usar mysql_real_escape_string()

O mejor, usar PDO.

Seguro que hay más, pero al menos estas son las más utilizadas.