E' capitato a un bel po' di gente: http://stackoverflow.com/a/30469547/711206
Usa prepared statements per evitare sql injection, e non dovresti avere problemi di sicurezza. Forse la cosa fastidiosa può essere il traffico inutile che si potrebbe bloccare, ma per quello ti so consigliare poco a parte una ricerca su google.