Varför tillåter du input i dina sql-satser? Enda stället jag kan komma på när det är nödvändigt är ju tex sökningar och då kan du ju enkelt filtrera bort alla tecken utom a-z0-9 + lite extra med ett regexp.
Kod:
$filtered = preg_replace("/[^a-z0-9]/","",$input);