Mas tudo isso? É difícil encontrar alguém que saiba atacar, não é?
Talvez. Dentre os invasores, existem os chamados "Script kiddies", ou seja, pessoas que não sabem invadir mas utilizam softwares automáticos para isso.
E são softwares fáceis de encontrar. Pesquise no Google por "Havij" e "SQL Helper".

Como me protejo?
Com o simples uso da função addslashes() ou mysql_real_escape_string(), que coloca uma barra invertida antes de cada aspa, tornando-a inválida e não-literal. Assim, a instrução SQL ficaria segura e não poderiam ser inclusos novos pedaços de código. Veja:
SELECT * FROM users WHERE user = '' AND senha = '\' or 1='1'
Também há outras funções, como a stripslashes(), mysql_real_escape_string() etc.

Apesar da simplicidade da proteção, a maioria dos desenvolvedores não a aplicam. E o pior: a humanidade não sabe o porque disso.

Também é interessante adicionar criptografia hash nas senhas, tais como MD5(), Sha1() etc, além de usar senhas ilógicas e difíceis de serem adivinhadas/descriptografadas.

Ênfase: não utilize o conteúdo deste artigo para fins maléficos.