Que tal estaria esta funcion? es la que puso ferny pero con sustitución de caracteres extraños:
Código PHP:
# Función para evitar ataques SQL injection y XSS
function limpiar_sql($value){
$value = trim(htmlentities($value)); // Evita introducción código HTML
if (get_magic_quotes_gpc()) $value = stripslashes($value);
$value = mysql_real_escape_string($value);
$carac= array(":", "/", "\", " ", ";", "%", "$", "=", "|");
$value = str_replace($carac, "", $value);
return $value;
}
Seria segura?