mysql_real_escape_string es lo mas seguro que hay.

Lo ideal es crear una funcion que haga lo siguiente:

Si las comillas magicas están activadas en tu .php.ini usar mysql_real_escape_string
Si están desactivadas, usar primero add_slashes, y luego mysql_real_escape_string

Tu funcion tambien sirve, pero habría que agregarle otros valores mas al array como "#" "%" , etc)