Con mysql_real_escape_string() evitas las inyecciones SQL, no importa si incluyen esas palabras especiales, de hecho, tu función te dará más problemas que soluciones, porque si tienes una frase como "you've got an email from mysite" se eliminará from que no representa peligro.

Para evitar ataques XSS busca el aporte de GatorV aquí mismo en FDW.