Buenas,
Mas que modificar la consulta, es prevenir que los datos que le llegan son los que esperas. Por ejemplo evitando este tipo de consultas...
Código PHP:
$consulta = "SELECT * FROM products WHERE id LIKE '%".$_GET['id']."%'";
$resultado = mssql_query($consulta);
Donde se introduce un parámetro directamente en consulta sin comprobar si el
id que se espera es un número, un texto, si tiene carácteres no permitidos incompatibles con la consulta que se quiere realizar, etc...
Usar MySqli o PDO pueden ayudarte pues tienen funciones orientadas a evitar este tipo de situaciones.
Hace poco se ha hablado sobre un tema que te puede dar orientación de lo que buscas.
http://www.forosdelweb.com/f18/no-fu...n-sql-1141135/
Y aquí hay varios ejemplos que pueden orientarte sobre
que no hay que hacer en las consultas para facilitar las inyecciones SQL.
http://php.net/manual/es/security.da...-injection.php
Saludos,