Bajo mi punto de vista lo tienes difícil, lo único que se me ocurre es que uses con la sentencia sql que te llega ya preparada la función mysql_escape_string() , la cual te ahorrará algunas inyecciones sql, pero no todas, y lo último que se me ocurre es que establezcas filtros para la sentencia sql mediante expresiones regulares, así detectas si hay cosas que no debería haber

por ponerte un ejemplo con la expresión puedes filtrar que no aparezca ningún Like con un "%", eso sí, para evitar todo tipos de iyecciones tendrías que hacer todo tipo de expresiones regulares y conocerte que inyecciones pueden hacerte.

Ni yo se si quiera sin estas ideas son buenas, es extraño hacer ese tipo de comprobaciones cuando ya tienes la sql hecha.

Saludos! espero que te haya servido