No hay una mejor opcion en seguridad... todos tienen sus pros y contras.

Yo lo que hago, es filtrar caracteres no deseados mediante expresiones regulares. Por ejemplo, en una variable llamada $nombre no quiero que aparezcan simbolos como : @<;~>#+&º entre muchos otros.

De antemano debes saber si la variable puede estar vacia, que sean solo letras, solo numeros... que tengan un minimo o maximo de caracteres, etc. Tienes que invertir mucho tiempo leyendo, experimentando y mejorando tu programacion.

JAMAS CONFIES EN EL USUARIO. Primero filtra la informacion del usuario, cuando creas que tus filtros son lo suficientemente buenos, entonces envia la informacion a la base de datos.