Bom dia Iran, para o tratamento de sql injection depende muito da linguagem que você usa, por exemplo no php, podemos usar os filtros sobre os valores informados
http://php.net/manual/en/filter.filters.php
No php também existe um tratamento de sql injection na camada de banco de dados pelo PDO, nele usamos placeholders no lugar das variáveis na query sql, dessa forma o conteúdo da variável não é interpretado como um comando.
http://php.net/manual/en/pdo.prepared-statements.php
Para identificar se o usuário informou um código sql na tela de login, você pode fazer a verificação do conteúdo por expressão regular.
Espero ter ajudado.