Leggendo in giro per il web ho trovato questa funzione: "mysql_real_escape_string" per prevenire questi attacchi..
Codice PHP:
function Login($username$password)
{    
    // Anti SQL Injection Attack
    $username mysql_real_escape_string($username);
    $password mysql_real_escape_string($password);
... 
ma preferisco fare domande a qualcuno che se ne intende di piu, e qui ce ne sono molti ^^
E' l'unica soluzione o ce ne sono anche di altre per prevenire altri tipi di attacchi al sito?