Ti suggerisco di iniziare leggendo il manuale ufficiale:

http://www.php.net/stripslashes

http://www.php.net/mysql_real_escape_string

Ed anche:

http://php.html.it/guide/lezione/2986/sql-injections/