¿Cómo evitar la inyección de sql de esta consulta?

Cuando se cita el marcador de posición, no es un marcador de posición, es el valor literal. Pruébalo de esta manera:

$a = Model::model()->findAllBySql(
                      'SELECT * FROM table WHERE name like :name',
                      array(":name"=> '%' . $_GET['name'] . '%')
                      );

Actualmente, el controlador agrega automáticamente los dos puntos, pero es posible que no lo haga en el futuro; es mejor que el nombre coincida con el marcador de posición.

cómo cambiar el formato de marca de tiempo en mysql

conectar base de datos mysql externa con php

Fusionando archivos de datos con Statistica, Parte 1
Arreglar la base de datos SQL corrupta durante el problema de actualización
Creación de una base de datos MySQL o MariaDB en modo de espera en frío en Amazon AWS
Comprender MySQL TRUNCATE TABLE por ejemplos prácticos