Как предотвратить sql injection в php ?

Используйте pdo prepare statement. Или старинным образом mysql_real_escape_string в зависимости что за код у Вас

В старых проектах legacy code обычно mysql_real_escape_string, но правильно конечно же pdo