Se usi MySQL la funzione corretta da usare e' mysql_real_escape_string(), ma comunque la cosa migliore per interagire con un database e' usare un'interfaccia come PDO.