Usa mysql_real_escape_string() quando si inseriscono stringhe nelle query SQL, indipendentemente dalla provenienza dell'input.
Usa htmlspecialchars() o htmlentities() quando si inseriscono stringhe nel codice HTML, indipendentemente da dove provenga l'input.
Usa urlencode() quando si inseriscono valori nella stringa di query di un URL, indipendentemente dalla provenienza dei valori.
Se questi dati provengono dall'utente, dovresti assolutamente fare queste cose perché c'è la possibilità che l'utente stia cercando di fare cose cattive. Ma sicurezza a parte:cosa succede se si desidera inserire una stringa legittima in una query SQL e la stringa contiene solo un carattere di virgolette? Devi ancora scappare.
