Molto meglio usare un framework come Laravel che rende molto difficile permettere SQL Injections quando si usa, ad esempio, Eloquent per integragire con i dati.

Altrimenti usa i prepared statements di PDO con qualche piccolo accorgimento aggiuntivo e sei a posto:
https://stackoverflow.com/questions/...-sql-injection

A perte ciò, cosa intendi con "codificare la URL"?