Una forma rápida de evitar los ataques, es utilizando la función mysql_real_escape_string, para base de datos mysql, que transforma , una comilla doble: » en » , para evitar escapar.
$respuesta=mysql_query(«SELECT * FROM `Usuarios` WHERE `user`='».mysql_real_escape_string($name).»‘ AND `pass`='».mysql_real_escape_string($password).»‘»)