una pregunta para todos los programadores

tu programador web, como te proteges de inyección sql, todos hablan de seguridad
y no se que tanto, pero a la hora de preguntarles nadie sabe, solo dicen que saben, se que el tema es complicado, pero te pregunto a ti, cuales son los métodos que usas para protegerte de una inyeccion de sql

a mi me dijeron que ocupara
1-mysqli_real_escape_string
2-htmlspecialchars
3-limitar los permisos del usuario a nivel de base de datos
pero realmente con esto protejo o hay mas cosas, como que no quedo muy convencido con esto