Si estas usando mysql o mysqli, tenes real_escape_string() en las 2 funciones ( mysql_real_escape_string() ) y htmlspecialchars() investiga.
http://www.forosdelweb.com/f18/evita...datos-1013406/

http://www.forosdelweb.com/f18/aport...a-php-1011808/ este es un aporte interesante hecho por Triby