mysql_real_escape_string merece sua atenção.

No entanto, as consultas diretas são um atoleiro e não são mais consideradas uma prática segura. Você deve ler as declarações preparadas para DOP e parâmetros de ligação que tem um benefício colateral de citar, escapar, etc. embutido.