За максимална сигурност, производителност и коректност използвайте подготвени изрази. Ето как да направите това с много примери на различни езици, включително PHP:
https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks