Можно легко обезапасить любю cms поставив грамотную фильтрацию, так что если вы не уверненны в своем движке или в чужом просто просто проводите все запросы через эту функцию.
PHP код:
<?
error_reporting(0);
function HLSQL($Query)
{
$Query=preg_replace("/(\s{1})(JOIN)/", "\\1\nJOIN", $Query);
$Query=preg_replace("/([^a-zA-Z]{1})([\d0-9]+)/", "\\1<span style=\"color:6666CC\">\\2</span>", $Query);