php de bu açıktan korunmak için post veya get ile aldığınız değerleri mysql_real_escape_string() fonksiyonundan geçirebilirsiniz.
Örn:

$isim = mysql_real_escape_string($_POST['isim']);