si el aporte de gatorv te funciona puedes combinar ambos y ampliar tu seguridad , lo de gatorv es para evitar xss en todos los campos que el usuario use para introducir cualquier texto y evitar que añadan codigo malicioso , pero para base de datos php en su manual dice que hay que hacer un addslashes , stripslashes y mysql_real_scape_string , puedes combinar lo de gatorv y las funcones de php y luego un mysql_real_scape_string . y lo de los formularios no se si cargara mucho yo lo que recomiendo es usar solo las funciones que necesites es decir para un campo de solo numeros hago un int() y si no kiero que añadan nada de codigo html o php le añado tambien struip_tags y si solo lo kiero en minusculas añado strtolower y si kiero retirar espacios añado trim() , segun el campo hago unas cosas u otras y si ademas ese campo va guardado en bd le ago un stripslashes y luego un mysql_real_scape_string mas o menos eso es lo que yo hago , si tienes mas dudas aki estoy