Originariamente inviato da mem
Ti basta utilizzare htmlentities() prima di memorizzare la variabile in database

Codice PHP:
$testo htmlentities($_POST['testo']);
mysql_query("INSERT INTO tabella (testo) VALUES ('$testo')"); 
questo per quanto riguarda l'SQL injection.
Per favore, se non hai le competenze necessarie, ti prego di non dare suggerimenti in merito alla sicurezza.

L'utilizzo di htmlentities() (senza ENT_QUOTES) NON protegge da SQL Injection. Con magic quotes disattivi, il codice che hai postato e' aperto a SQL Injection (gli apici singoli non vengono escapati ne convertiti).