SQL injectálás elleni védelem?

Tudom, hogy ez mire jó, mit tud károsítani stb...

Készítettem egy weboldalt, ami nagyon összetett (RENGETEG php van benne, mivel iszonyatosan sok adatbázis lekérdezést használ).

Mindenhol, ahol csak kellett (ahol észrevettem) használtam 2 dolgot ellene:

1. valami2 = mysql_real_escape_string($valami1)

2. if (preg_match("/^[a-zA-Z0-9]*$/i", $valami2))

Első kérdésem: Ezeken kívül még lehet valamivel védekezni ellene? (Egyáltalán kell-e?)

Második kérdésem: Van-e olyan free program, ami át tudja nekem nézni az összes weboldal részt, és ha talál benne "biztonsági rést", akkor kiírja, hogy "be tudjam foltozni"?

Azért kell a program hozzá, mert közel 120 php fileból áll, aminek a darabja legalább 20-30kb-s. Így rengeteg időbe telne átnéznem egyesével, pontról pontra.