In generale mi vien da dire query parametriche, escaping di tutto l'input esterno che va a formare la query, controllo sui parametri (casting, regexp etc...)
Questi sono i metodi che mi vengono in mente...
La lettura di questo dovrebbe esserti utile...
https://www.owasp.org/index.php/SQL_...on_Cheat_Sheet