Amigo hay una funcion ya creada para el PHP llamada mysql_real_escape_string, ella evita el sql injection, solo le tienes que pasar cada $_GET a ella fijate el link que te deje es muy simple...


http://www.php.net/manual/en/function.mysql-real-escape-string.php