uğraşmadan olmaz ufak bir önerim bir function yazın her seferinde o fonksiyonu çağırarak post/get gelen verileri kontrol edin, her if eşleştirmesi bir sorgu değildir ayrıca.

aşağıda basit bir örnek yazdım onu geliştirebilirsin, yalnız dikkat etmen gereken bu functionu çağırdığın anda mysql bağlantısının olması lazım yoksa mysql_real_escape_string çalışmaz.

ikinci bir detay ise filter_var fonksiyonu bunu aşağıda senin değişkenin sadece yazılardan oluşabileceğini varsayarak string olarak yazdım

http://php.net/manual/en/function.filter-var.php

bu sayfadan filter_var diğer değerler için nasıl kullanılıyor inceleyebilirsin

function kontrol($veri){
    
    if(strlen($veri)<=0){ 
        return false; 
        }
    
    if(get_magic_quotes_gpc()){
            $veri= stripslashes($veri);
        }
        if(function_exists("mysql_real_escape_string")){
            $veri= mysql_real_escape_string($veri);
        }else{
            $veri= addslashes($veri);
        }

    $veri = filter_var($veri, FILTER_SANITIZE_STRING);  
    return $veri;
    
}