La pregunta es por si uso en php algo como
if(!ereg("^[a-zA-Z0-9_\.-]+$", trim($user)))
{
no realizar query
}
else
{
realizar query (select usuario,password from usuarios where usuario='$user')
}
es suficiente para impedir inyeccion sql.
De antemano gracias.