Ну SQL-Инъекция это когда входные данные не проверяются (или же проверяются плохо обрабатываются) и вставляются напрямую в SQL запрос. В итоге, получается так что можно составить свой запрос (и изменить оригинальный) через входные данные.
Короче пацаны, используйте PDO и prepared statements и все будет круто
P.S.: Если есть баги в БД, или же HTML попадает в запрос, вам все таки стоит очистить строку от HTML'а и JS. К тому же, нету 100% гарантии того что Вашу базу не взломают. Как говорится тот кто ищет, тот найдет
_____________
Мой блог