bende formdan gelen verileri .= ile birleştir sonra, yasak kelimeleri in array de arat veya direk mysql real escape string kullan.
yasak kelime kullanma taraftarı değilim sonuçta bir çoğunuz sef link kullaniyorsunuz sql injectionla ilgili bir blog yazısı yazarsanız url de şu şekilde olursa
http://www.com/union-select-tarzi-in...ma-blabla.html
gibi bu linke tiklamaya çalışan filtreye takılır , ayrıca bir çok kişi var şifresinde ",' gibi özel karakter kullanan