al menos no ocultes lo que escribes, que pena
estamos hablando de Inyección Sql, entonces se discute eso, por ejemplo yo dije que con strip_tags se podría filtrar los datos ingresados (básicamente etiquetas html y php), en datos que no tienen porque tenerlo (ejemplo nombre de usuario, apellidos y nombre, etc) pero habrán otros que si es necesario mantenerlos con el formato ingresado, eso era mi aporte, pero sino lo creen que es una aporte no hay problema, por ejemplo aquí mucho se ha hablado de mysql_real_escape_string(), pero básicamente ésta función es de mysql, así que no debe confiarse mucho, porque además si deseo conectarme a otro tipo de base de datos diferente a mysql, entonces tengo que buscar alguna otra función que sea similar a mysql_real_escape_string(), entonces lo que deberíamos de hacer es un código que sea transportable a cualquier entorno sin depender de un SGBD en especial.