Yo usaría:

mysql_real_escape_string()
www.php.net/mysql_real_escape_string

Filtra la mayoría de caracteres "raros" que podrían causar problemas a la hora de ejecutar tu sentencia SQL.

Un saludo,