初めまして、K_T_T_Kさん。
解答失礼いたします。

SQLインジェクション対策のコードをどのようにしているかとのことですが、
私もTaMaMhyuさんと同じでPDOとbindParamを主に利用していますね。

bindParamでは少しコードが冗長になってしまいますので
値の数が少ない場合は配列で直接渡してしまう事もあります。

プリペアドステートメントを使い、プレースホルダーで値をセットする場合は
PHP側で自動的にエスケープ処理をしてくれますので、便利ですね。

bindParamを用いない場合

lang
1<?php
2	// 例：ユーザーが他のユーザーのIDを入力してデータを取得するプログラム
3	$pdo = new PDO(DSN, DB_USER, DB_PASSWORD);
4
5	$user_id = $_POST["user_id"];
6	
7	$sql = "SELECT * FROM users WHERE `user_id` = :user_id";
8	$stmt = $pdo->prepare($sql);
9	$params = array(":user_id",$user_id);
10
11	$stmt->execute($params);
12?>

bindParamを用いる場合

lang
1<?php
2	// 例：ユーザーが他のユーザーのIDを入力してデータを取得するプログラム
3	$pdo = new PDO(DSN, DB_USER, DB_PASSWORD);
4
5	$user_id = $_POST["user_id"];
6	
7	$sql = "SELECT * FROM users WHERE `user_id` = :user_id";
8	$stmt = $pdo->prepare($sql);
9	$stmt->bindParam(":user_id",$user_id);
10
11	$stmt->execute();
12?>

bindParamを使う上での注意点(LIMIT句)

lang
1<?php
2	// 例：新規登録したユーザーを入力された数値分、表示するプログラム
3	$pdo = new PDO(DSN, DB_USER, DB_PASSWORD);
4
5	$limit = $_POST["limit"];
6	
7	$sql = "SELECT * FROM users ORDER BY created DESC LIMIT 0, :limit";
8	$stmt = $pdo->prepare($sql);
9	$stmt->bindParam(":limit",$limit,PDO::PARAM_INT);
10
11	$stmt->execute();
12?>

PDOであればbindValueを使っています。
LIKE句には別の対応も必要だったと思いますが…
フレームワークを使う場合はフレームワークがだいたいやってくれるのであまり気にしていません。