mysql_real_escape_string förtjänar din uppmärksamhet.
Men direkta frågor är ett träsk och anses inte längre vara säker praxis. Du bör läsa om PDO-förberedda uttalanden och bindande parametrar som har en sidofördel av att citera, escape, etc. inbyggt.