In questo caso allora la soluzione è molto semplice. Da una piccola descrizione che ti ho dato sul problema della SQL injection, basta che tu controlli che la variabile che dovrebbe contenere il tuo campo contenga effettivamente solo una parola! Quindi se vi è + di una parola allora qualcuno sta cercando di fare il furbo.
Se poi, vuoi proprio esagerare (ma secondo me è del tutto inutile visto il controllo precedente) potresti controllare che la variabile precedente non contenga caratteri come apice, doppio apice, =