usa strip_tags o htmlentities o htmlspecialchars tambien es segun que variable y que deseas escapar y despues en la consulta ya usas mysql_real_escape_string y si quieres lo combinas con addslashes o stripslashes