Использовать подготовленные запросы (prepared statements) с параметрами; никогда не подставлять пользовательский ввод в строку SQL. ORM и query builder с параметризацией. Валидация и санитизация ввода. Минимальные привилегии БД.