То, о чем вы говорите, известно как кодировка URL и не имеет ничего общего с SQL-инъекцией. Кодирование URL сделано для предотвращения путаницы со следующими символами, которые имеют особое значение:
! * ' ( ) ; : @ & = + $ , / ? # [ ]
%21 %23 %24 %26 %27 %28 %29 %2A %2B %2C %2F %3A %3B %3D %3F %40 %5B %5D
Это делается автоматически браузером, и вам не нужно ничего настраивать на стороне сервера для ваших пользователей. Однако вы можете использовать urlencode(), если вам нужно передать закодированную строку, и urldecode(), если вам нужно чтобы найти, какой была строка.
Чтобы предотвратить внедрение SQL, самое важное - использовать подготовленные операторы. В процедурном MySQLi это будет выглядеть так:
$stmt = $conn->prepare('SELECT * FROM table WHERE field = ?');
$stmt->bind_param('s', $variable);
$stmt->execute();
Для дополнительных профилактических мер, я бы рекомендовал обратиться к этой записи .