Para evitar SQL Injections, tenes 2 funciones basicas.

De MySQL, si lo usas:

mysql_real_escape_string()

De PHP:

addslashes()

Y para otros gestores de bd, en general es lo mismo que el de MySQL solo que cambiando el prefijo mysql, por el nombre correspondiente.

addslashes() se deberia usar solo en caso de que el servidor no tenga activado magic_quotes_gpc, que para eso podes verificarlo, con la funcion get_magic_quotes_gpc()