se la sezione protetta gestisce gli utenti tramite il db non risolvi il problema ma sei allo stesso punto di partenza.. per prevenire l'injection devi prima effettuare un controllo sui dati prima di costruire una query.. più semplicemente facendo escape di caratteri come gli apici, per un meccanismo più sicuro è meglio che usi dei controlli a espressioni regolari..