For maksimal sikkerhed, ydeevne og korrekthed skal du bruge forberedte erklæringer. Sådan gør du dette med masser af eksempler på forskellige sprog, inklusive PHP:
https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks