ya veo, gracias por sus respuestas

creo que usare el mysql_real_escape_string pues todo está hecho en mi pagina por la libreria mysql, pero en un futuro cercano (tan pronto como sea posible) la cambiare por el uso de mysqli.

leí la pagina del 1er enlace que pusiste abimaelrc pero me queda una duda que puse en el principio.

Imaginando que de x manera paso una \ o $ o lo que sea, en el transcurso en el que se va a enviar el dato a la base de datos, el preg_match no ayuda en algo si le ordeno que solo permita ciertos caracteres nada mas, esto antes de enviar a la BD ?