Buenas!!
Muy sencillo y rápidamente. Para un campo de formulario, mediante el cual recogemos una búsqueda a una base de datos, con la función mysql_real_escape_string() sería suficiente, o sería mejor añadir además la función htmlentities()??

es decir, una de dos:
$variable=mysql_real_escape_string($variable);
$variable=htmlentities(mysql_real_escape_string($v ariable));

Gracias y un saludo.