Usa mysql_real_escape_string()
al insertar cadenas en consultas SQL, sin importar de dónde provenga la entrada.
Utilice htmlspecialchars()
o htmlentities()
al insertar cadenas en el código HTML, sin importar de dónde provenga la entrada.
Usa urlencode()
al insertar valores en la cadena de consulta de una URL, sin importar de dónde provengan los valores.
Si estos datos provienen del usuario, definitivamente debe hacer estas cosas porque existe la posibilidad de que el usuario esté tratando de hacer cosas malas. Pero aparte de la seguridad, ¿qué sucede si desea insertar una cadena legítima en una consulta SQL y la cadena simplemente tiene un carácter de comilla simple? Aún debes escapar.