Не надо заморачиваться , все предельно просто . Все передаваемые значения должны быть в ковычках , это сразу спасает от 99 процентов проблем да и mysql проглотит этот запрос быстрее , прежде чем применить

PHP код:

addslashes() 


надо проверить включены ли magic_quotes_gpc

PHP код:

get_magic_quote_gpc 


четко выставить кодировку , желательно отфильтровать данные на спецсимволы

PHP код:

$text = trim ( $text );$text = trim ( $text , "\x00..\x1F" ); 


htmlspecialchars надо использовать с ENT_QUOTES иначе одинарная ковычка не будет фильтроваться

PHP код:

htmlspecialchars( $text , ENT_QUOTES); 


В случае запроса-поиска надо экранировать %,_ . Главное правило - не доверять всем входящим от юзера данным , точнее всему тому на что может повлиять юзер , но не показывать этому юзеру свое недоверие