mysql_real_escape_string merita la tua attenzione.
Tuttavia, le query dirette sono un pantano e non sono più considerate una pratica sicura. Dovresti leggere le Dichiarazioni preparate per la DOP e parametri di associazione che hanno un vantaggio collaterale di citazione, escape, ecc. integrato.
