Hola
usa una funcion como esta que me paso okram y es bastante segura al recibir datos mediante un form
Código PHP:
function mysql_escape($cadena) {
if(get_magic_quotes_gpc() != 0) {
$cadena = stripslashes($cadena);
}
return mysql_real_escape_string($cadena);
$nombre = mysql_escape($_POST['nombre']); //forma de usarla