Gracias por tu ayuda, sourcegeek. Ahora mi página ya no es vulnerable a inyecciones sql. Pero tengo una pregunta, he usado estas funciones:

htmlentities, utf8decode, y mysql_real_escape_string en una variable recibida por POST, y al ingresar una comilla doble, luego cuando la muestro veo \" , entonces como quería verla otra vez como comilla doble usé html_entity_decode y no funciona. Por qué?

En definitiva me pregunto, cuándo debo codificar y cuándo codificar. Saludos