[nosmile]

montreuillois (./63) :
En PHP y'a du "escape_query_strings", c'est réglé :P
Sinon on peut affiner avec les stripcslahes(), str_replace(), tout dépend.

Bon, de toute façon, autant aller au plus simple :
http://en.wikipedia.org/wiki/Category:SQL_keywords
Déjà, si tu remplaces tout ça (plus les OR et les AND) par rien ou quelque chose d'inoffensif, je dirais que tu es à peu près tranquille.
Mais je n'ai pas trop l'habitude de protéger du SQL.