Io di solito uso mysql_real_escape_string() e sprintf() per le query, ad esempio:

Codice PHP:
<?php 
// nel caso avessi $_POST['user'] e $_POST['pass'] eseguirei cosi la query:

$query sprintf("SELECT * FROM utente WHERE utente='%s' AND password='%s' ;",
                    mysql_real_escape_string($_POST['user']),
                    mysql_real_escape_string($_POST['pass']));

mysql_query($query);

?>
vatti comunque a vedere le funzioni sprintf() e mysql_real_escape_string().