Ti basta il "blindare" i caratteri a seconda dell'utilizzo della stringa su cui vai ad operare.


Se la stringa deve essere salvata su database prima di salvare utilizzi "mysql_real_escape_string"

Se la stringa deve essere eseguita su shell prima di eseguirla utilizzi "escapeshellcmd()"/"escapeshellarg()"



Il "blindare" con "escape..." stringhe che vengono salvate su DB non porta nessun vantaggio a livello ne di protezione ne di altro.

Come il "blindare" con "mysql_real..." non da vantaggi su stringhe che devono essere eseguite su shell.

Anzi, forse pensandoci bene, potrebbero causarti degli spiacevoli problemi.