Нужно просто соответствующим образом экранировать данные. Или использовать prepared_statements, которые сами обо всем позаботятся.
> чтобы уже при попытке "ввода инъекции" уже ничего не запускать и не выполнять
А если вдруг пользователь захочет в блоке о вашем фреймворке опубликовать статью об инъекциях с примерами?