mysql_real_escape_string() à partir de la documentation mysql.com :
mysql_real_escape_string() est conscient du jeu de caractères, donc répliquer toutes ses capacités (en particulier contre les problèmes d'attaque multi-octets) n'est pas une petite quantité de travail.
De http://cognifty.com/blog.entry/id=6/ ajoutelashes_dont_call_it_a_comeback.html :
AS =adslashes() MRES =mysql_real_escape_string()ACS =addcslashes() //appelé avec "\\\000\n\r'\"\032%_"Fonctionnalité AS MRES ACS échappe aux guillemets, aux guillemets doubles et à la barre oblique inverse oui oui oui échappe les modificateurs LIKE :trait de soulignement, pourcentage non non oui échappe aux guillemets simples au lieu de la barre oblique inverse non oui*1 non compatible avec le jeu de caractères non oui*2 non empêche les attaques multi-octets non oui*3 non