佐々木です。
ふと思いついたので書いておきます。

> パラメータのチェックを厳密にし、不要な権限は割り当てない。というのがSQL
> インジェクション攻撃に対する基本的な対策だと思いますが。保険としてさらに
> 取れる事は無いのでしょうか。

COUNT を共通のパラメータチェッカーとして利用する手もあります。
目的の SQL を発行する前に、

SELECT COUNT(*) FROM `テーブル`;

というように FROM より前の部分だけを COUNT で置き換えて実行してみて、
想定外の件数が返って来たらエラーにするとか。

また、同じように EXPLAIN を利用すればデータベースへ高い負荷をかけるような
SQL をブロックすることが出来ると思います。

あと、プログラムが複雑になってもいいなら複数の異なるチェック関数を通して、
組み上がった SQL が異なる結果になればエラーで弾くという手もありますね。

プロ（？）の方々はもっと上手な手段をお持ちかも知れません。
個人的にはそういう方々の投稿を期待してます。