Använd mysql_real_escape_string() när du infogar strängar i SQL-frågor, oavsett var indata kommer ifrån.
Använd htmlspecialchars() eller htmlentities() när du infogar strängar i HTML-kod, oavsett var inmatningen kommer ifrån.
Använd urlencode() när du infogar värden i frågesträngen för en URL, oavsett var värdena kommer ifrån.
Om denna data kommer från användaren bör du definitivt göra dessa saker eftersom det finns en chans att användaren försöker göra dåliga saker. Men åt sidan av säkerheten - vad händer om du vill infoga en legitim sträng i en SQL-fråga och strängen bara råkar ha ett enda citattecken i sig? Du måste fortfarande fly det.