sql экранирование

Ответ от Kosmoчка[гуру]
mysql_escape_string помечена как deprecated, то бишь устарела и на очереди к списанию, так что использовать не стоит. В доке сказано использовать mysql_real_escape_string, предварительно избавившись (stripslashes) от автоматического экранирования, если magic_quotes_gpc включено (жуткая директива, всегда вырубаю) .

Лично я, к стыду своему, всегда считала, что htmlentities или htmlspecialchars с параметром ENT_QUOTES вполне достаточно.

А вообще для таких вопросов существуют специализированные форумы, например ссылка или ссылка