Cita:
Iniciado por jor_0203 
¿y con eso escapo de inyección de sql?
según yo eso es cierto esta
pienso que es genial
La respuesta es complicada.
En teoría si "resuelves" ese problema, para a un costo absurdo, al codificar las entidades del HTML y escapar con addslahes() solo deformas la intención original de la información, es como reparar una fuga de gas con goma de mascar.
No es genial, es ridícula.
Las funciones htmlspecialchars(), addslashes() y base64_encode() sirve para otras tareas, no para las de evitar SQL-Injection, que, aunque a simple vista pareciera que si lo son en el fondo guardan mediocridad para quien si lo cree.
Para manejar todo lo relativo a base de datos existe PDO, que tiene métodos de limpieza ideales para conservar la integridad de los datos sin tener que deformarlos, sin embargo también las extensiones simples deben contar con alternativas.
En tu caso sería mysql_real_escape_string() pero de por si MySQL ya es una extensión en vías de extinción, así que no vale la pena hablar de ello.
¿Solución?
Actualiza tu forma de trabajar y no tendrás que pensar en inyecciones de SQL jamás.
Cita:
Iniciado por jor_0203 eres un genio
¿Genio?
Si, el tuerto es Rey en el país de los ciegos.