mysql_real_escape_string fortjener din opmærksomhed.
Direkte forespørgsler er dog et sump og betragtes ikke længere som sikker praksis. Du bør læse op på PDO udarbejdede erklæringer og bindingsparametre, som har en sidegevinst ved at citere, undslippe osv. indbygget.