Sempre use instruções preparadas para ataques de injeção SQL em vez da consulta SQL normal. A primeira etapa na prevenção de um ataque de injeção de SQL é estabelecer quais (se houver) de seus aplicativos estão vulneráveis.
Você precisa implementar instruções preparadas com consultas parametrizadas. Vamos dar um exemplo:
$cid = $_GET['cid'];
$get_prepare_query = db_prepare_query("select * from ".TABLE_CATEGORIES." where category_id = ?");
$get_prepare_query->bind_param('s', $cid);
$get_category_prepare_result = db_prepare_result($get_prepare_query);
$get_category_result = array_shift($get_category_prepare_result);
if(sizeof($get_category_result) == 0 ) tep_redirect(tep_create_url(''));
$category_id = $get_category_result['category_id'];