Сегодня в любом случае стоит использовать PDO (или уже какие-то обёртки поверх PDO), вроде Query-builder-ов.
От большей части инъекций избавляет подготовка запроса. На примере PDO:
$stmt = $dbh->prepare("'SELECT * FROM users WHERE id = ? OR email = ?');
$result = $stmt->execute(array($_GET['id'], $_GET['email']));
Также можно использовать именованные параметры, тогда используйте асоциативный массив и параметры вроде :email и :id.
Почитать можно
тут.
