config bölümününden $config['global_xss_filtering'] = FALSE;
ayarını TRUE olarak değiştirirsen sql injection'a karşı önlem alabilirsin onun dışında form validation konusunu da kurcalamanı tavsiye ederim.