FloppyFormator

Если это популярная CMS, разумно обновить её до последней версии. А если сайт самописный, то либо атакуют те, кто знает код, либо уязвимости действительно легко найти, и даже несложный аудит поможет выявить какое-то их количество.

Грант на селект, конечно, самое адекватное решение.
Как вынужденная мера, можно попробовать анализировать введённый запрос и на основании результата передавать либо не передавать его СУБД.
Но я бы предложил обратную процедуру: конструировать запрос из имеющихся данных, введённых любым удобным способом, в том числе и парсингом исходного запроса. Главное, передавать СУБД не введённые извне данные, а специально сформированный запрос, в котором гарантированно не будет «неправильных» конструкций. А если таковые есть в исходном запросе, выдавать ошибку.