Para máxima segurança, desempenho e exatidão, use instruções preparadas. Veja como fazer isso com muitos exemplos em diferentes linguagens, incluindo PHP:

https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks