Brug mysql_real_escape_string() når du indsætter strenge i SQL-forespørgsler, uanset hvor input kommer fra.
Brug htmlspecialchars() eller htmlentities() når du indsætter strenge i HTML-kode, uanset hvor input kommer fra.
Brug urlencode() når du indsætter værdier i forespørgselsstrengen i en URL, uanset hvor værdierne kommer fra.
Hvis disse data kommer fra brugeren, så bør du helt sikkert gøre disse ting, fordi der er en chance for, at brugeren forsøger at gøre dårlige ting. Men til side for sikkerhed - hvad nu hvis du vil indsætte en legitim streng i en SQL-forespørgsel, og strengen tilfældigvis har et enkelt anførselstegn i sig? Du skal stadig undslippe det.