mysql_real_escape_string заслужава вашето внимание.
Въпреки това директните запитвания са блато и вече не се считат за безопасна практика. Трябва да прочетете за изготвените изявления за PDO и параметри на обвързване, които имат вградена странична полза от цитиране, екраниране и т.н.