Se stai iniziando ora, usa direttamente PDO che dventerà lo standard per le connessioni a base di dati in php, con PDO non hai nessun problema di conversione dati e sql injection.

Altimenti devi usare mysql_rel_escape_string e sprintf