Eu acredito que mysql_real_escape_string() mysqli _real_escape_string() é a melhor maneira de escapar dos dados de entrada

Edição posterior, pois tudo está obsoleto agora e as informações devem ser válidas:

Tente usar PDO como instruções preparadas são muito mais seguras ou funções mysqli_*() se você realmente precisa manter o código antigo atualizado.