En esa misma pagina del manual de PHP explican que lo mejor es usar una funcion adecuada a tu BBDD para escapar variables, por ejemplo, para mysql debes usar
mysql_real_escape_string(), pero eso te soluciona solo la parte del SQL injection, falta lo del XSS injection que, de momento, podrias solucionar con:
str_ireplace('<script', '
<script', $cadena);