premetto che non conosco neppure io se esista un modo in PHP per farlo ma puoi provare a fare un'accurata ricerca dei comandi della sql injector e provare a contrastarle....