Te recomiendo comenzar investigando sobre los tipos de ataques posibles a nivel general, es decir, CSRF, XSS, SQLi. Descubrirás que no se limita a escapar caracteres.
Por otro lado, en los SQLi, por ejemplo, descubriras que caracteres si se deben escapar.

Saludos!

PD: Ahí te falta escapar SQLi, se logra normalmente con mysql_real_escape_string