Para obtener la máxima seguridad, rendimiento y corrección, utilice sentencias preparadas. A continuación se muestra cómo hacerlo con muchos ejemplos en diferentes idiomas, incluido PHP:
https://stackoverflow.com/questions/1973/cuál-es-la-mejor-manera-de-evitar-los-ataques-de-inyección-sql