В запросах с выборкой определённых типов(целые или дробные) можно преобразовать их в соответствующий тип:
$intg=(int)$intgr;
$real=float($real)
В строковых параметрах, которые не состоят в LIKE, regexp можно использовать функцию mysql_escape_string. В противном случае экранировать все спецсимволы а лучше вырезать их