Te recomiendo utilizar mysqli y mírate el bind_params que precisamente se ocupa de eso...
yo siempre me apoyo con una función que tengo
Cita: public static function safeParser($param){
$param = addslashes($param); //Protect with slashes
$param = strip_tags($param); //Strip HTML tags
$param = htmlspecialchars($param, ENT_QUOTES, 'UTF-8'); //Set the encoding for text to UTF-8
return $param;
}
Esto evita la lluvia pero no el que te mojes.