¡sprintf no te protegerá! Solo reemplaza el %s
debe mysql_real_escape_string entonces:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
es la inyección más segura
nota:le sugiero que eche un vistazo a PDO , es lo que me gusta usar para DBconecciones y consultas
