Son algunos recursos útiles.
Personalmente prefiero asegurarme el acceso a la base por medio de stored procedures, que si bien son más complejos de desarrollar, tienen la ventaja de ser invulnerables al sql-injection.
Esto por al menos dos razones:
Por un lado, no puedes inyectarle SQL a una llamada de SP sin disparar un error de sintaxis, ya que sin saber su prototipo no sabrías dónde cortar la llamada.
Por otro lado, los parámetros de entrada encapsulan cualquier cosa que les metas dentro de las variables, por lo que internamente el SQL toma cualquier cosa inyectada en un parámetro como una cadena de texto inocua. Y si intentas meter algo que pueda cortar una query interna, se disparan errores de sintaxis en el SP.

En cuanto a la aplicación, prefiero usar librerías que bindeen las variables, y no construir el SQL puro como cadena de texto.