با سلام و احترام.
همونطور که بقیه گفتند فقط مربوط به PHP نیست !
اما برای جلوگیری از استفاده از باگ Sql Injection می تونید از تابع آماده ای که وجود داره استفاده کنید مثل : addslashes راه بعدی که بسیار توصیه می شه،با $_SERVER['QUERY_STRING'] مقادیر را بررسی کنیم و دستورات
Sql را ببندیم.