mysql_real_escape_string merece su atención.
Sin embargo, las consultas directas son un atolladero y ya no se consideran una práctica segura. Debe leer sobre Declaraciones preparadas de PDO y parámetros vinculantes que tienen el beneficio adicional de citar, escapar, etc. incorporados.
