Pro maximální zabezpečení, výkon a správnost používejte připravené příkazy. Zde je návod, jak to udělat se spoustou příkladů v různých jazycích, včetně PHP:
https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks