Врят ли есть такие книги или статьи, но обычные советы помогают в большинстве процентов случаев, главное — знать как работают эти инъекции. На любых принимаемых данных нужно проверять соответствие типа, если там должно быть число то проверяйте число, а иначе не лезте а базу. Там где принимаете строки — экранируйте, благо все драйверы БД имеют такие методы из коробки. Часто люди забывают проверять данные из cookie, это тоже важно их тоже подделывают. Кроме sql инъекций не забудьте про javascript инъекции, еще более опасные.
Это самый простой вид атаки, никакой глубинной теории не существует.
Вот на хабре есть цикл статей для начинающих
habrahabr.ru/post/148151 
Средний
