Si es para prevenir SQL injection, deberías pasar un parámetro para aclarar que escape las comillas también...
Código PHP:
$_GET = array_map('htmlentities', $_GET,array(ENT_QUOTES));
$_POST = array_map('htmlentities', $_POST,array(ENT_QUOTES));
Igualmente no es correcto hacer esto... no sabés si todas las variables van a ir a una consulta, y si es así, tampoco estás escapandolas en forma apropiada...