Verifica si esta función puede empezar a ayudarte. Te recomiendo que uses también las funciones o métodos innatos de php para evitar añadir código de inyección sql. Ejemplo en PDO puedes usar bindParam o bindValue, en la librería de mysqli si es que estás usando una base de datos mysql puedes usar mysqli_real_escape_string, entre otras cosas, solo necesitas leer los comentarios en la página oficial para que te den ideas de lo que puedes hacer.