Você deve verificar se os campos fornecidos estão em uma lista/matriz de campos nos quais você permite pesquisar. Adicione acentos graves em torno dos nomes dos campos na consulta apenas para ser mais seguro também. Fazer essas duas coisas impedirá qualquer injeção por meio dessas variáveis.