Bobby-Tables tem um bom guia para evitar injeção de SQL.

Resumindo:não brinque com a entrada, use métodos de API de banco de dados que permitem parâmetros vinculados.