Jag tror mysql_real_escape_string()
mysqli _real_escape_string()
är det bästa sättet att undvika indata
Senare redigera eftersom allt är utfasat nu och informationen måste vara giltig:
Försök att använda PDO som förberedda uttalanden är mycket säkrare eller mysqli_*()-funktioner om du verkligen behöver hålla gammal kod lite uppdaterad.