Para prevenir esto tienes que programar con inteligencia y utilizar el potencial que te brinda el DBMS como por ejemplo, Stored Procedure, Vistas, alias.

No generes código SQL desde el lenguaje de programación por que podrán jugar mas fácil con la variables y lograr algo indeseado.

No es mucha mi aportación, pero al menos es algo

saludos

si tmb mirando el login
capas que con un

' or 'x'='x

pasas como pacho x tu casa xD
un saludo

mm no termino de entender. . .

me lo podria explicar mas detalladamente ?? porfavor

Realmente entendeer esto es de mucha importancia para mi

Recuerda que también existe:
https://foro.elhacker.net/nivel_web-b83.0/

Hacer un listado de que se puede poner en el geo o post como tipo filtro es querer hacer parches sin reparar el problema real y muchas veces resulta en querer tapar el sol con un dedo, ojala nunca hagas eso.

Para evitar una inyección sql lo primero que debes entender es que para pasar variables a una query de mysql siendo integer debe ir con (int) y si es un string entonces mysql_escape_real_string() encerrado en comillas simples.

algunos ejemplos de como se realiza un ataque de sql inyección y como prevenirlos:
https://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_17609-t244090.0.html
http://cl.php.net/manual/en/function.mysql-real-escape-string.php
http://cl.php.net/manual/en/security.database.sql-injection.php

por ejemplo

<?php
if(get_magic_quotes_gpc()){
 foreach($_POST as $variavle => $valor){
  $_POST[$variavle] = stripslashes($valor);
 }
}
$query = 
"select * form usuarios where name = '".
mysql_real_escape_string($_POST['user']).
"' and pass = '".
mysql_real_escape_string($_POST['pass']).
"' LIMIT 1";
?>

si usas el id de usuario aunque sea via cookie le antepones e (int)$valor para que solo devuelba integers.

Una buena seguridad no está en usar sistemas externos o parches como filtros sino en una buena programación.

obiamente si entiendo como se hace una inyección voy a saber prevenirla, ademas si te di links que hablan sobre como evitarlo, fijate en los enlaces de php.net y el ejemplo que puse, si no entiendes eso entonces si yo fuera tu le pagaría a un buén coder para que haga el trabajo por ti.