mysql_real_escape_string mérite votre attention.
Cependant, les requêtes directes sont un bourbier et ne sont plus considérées comme une pratique sûre. Vous devriez lire les les déclarations préparées par PDO et les paramètres de liaison qui ont l'avantage de citer, d'échapper, etc. intégrés.
