AYUDA con query INYECCION SQL

buenas tengo una consulta que de seguro alguno me podra ayudar.
tengo que hacer un INSERT en una base de datos MYSQL, los datos los saco por POST de un form. el tema es que estube leyendo algo de inyeccion sql y estoy tratando aprender. quiero filtrar las palabras y signos(drop,insert,etc..) que puedan intentar una inyeccion en my script sql.
tengo esta funcion:

function filtrar($variable){
if($variable){
$variable=str_replace("union","x",$variable);
$variable=str_replace("insert","x",$variable);
$variable=str_replace("delete","x",$variable);
$variable=str_replace("drop","x",$variable);
$variable=str_replace("update","x",$variable);
$variable=str_replace("like","x",$variable);
$variable=str_replace("*","x",$variable);
$variable=str_replace("?","x",$variable);
$variable=str_replace("and","x",$variable);
$variable=str_replace("or","x",$variable);
$variable=str_replace("-","x",$variable);
$variable=str_replace("=","x",$variable);
$variable=str_replace("%","x",$variable);
}else unset($variable);
return $variable;
}


lo que quiero saber es si hay una forma de que sepuedan escribir las palabra claves(insert,delete,and,or) sin que afecte el script
porque de ultima son palabras que una persona sin ninguna intencion pueda querer escribir en un campo de comentario

que solucion hay que no conosca

muchas gracias a todos por tomarse el tiempo de leer y comentar
saludos

para esto debes usar las funciones que ya existen, y no inventar sin fundamentos las tuyas...

mysql_real_escape_string()
http://php.net/manual/en/function.my...ape-string.php

pero mysql_real_escape_string filtra comillas dobles y simples pero no palabras como DROP, AND, OR . es suficiente con que filtre las comillas para que todo lo demas quede "anulado" ?
te pregunto porque no tengo idea y hay tantas funciones que veo por ahi que no se por donde agarrar, cuanto mas leo mas me entrevero

gracias por contestar

eso es precisamente a lo que me refiero: no sabes entonces nada de una inyección SQL

la clave para que una inyección se lleve a cabo es precisamente las comillas, si esos caracteres sencillos y otros pocos que sirven por lo general para encerrar valores literales, etc...

si dichos valores entre comillas no son escapados es entonces como se pueden producir ataques de inyección SQL.... y no es necesario eliminar palabras a lo absurdo...

el punto es el siguiente, aunque elimines palabras con determinadas instrucciones si no consigues escapar bien los valores literales y comillas aún pueden cometer ataques... o no precisamente ataques, también problemas de sintaxis SQL, etc...

esto no es un ataque de SQL:
¿que pasaría si eliminas las palabras and y or?

bueno, en primer lugar no evitas ningún ataque... pues inicialmente no existe, pero si eliminarías información valiosa del usuario... solo porque no eres capaz de comprender y sanar un problema no tienes porque eliminar deliberadamente los datos de la entrada del usuario...

en fin, es un tema complicado de explicar aquí... pero te invito a que investigues mas al respecto, y sobre todo que reflexiones... no te dejes llevar por lo que "crees" correcto, debes asegurarte de hacer lo correcto!!

buenaso quedo claro, gracias por todo y por la reflexion final saludos