En esa misma pagina del manual de PHP explican que lo mejor es usar una funcion adecuada a tu BBDD para escapar variables, por ejemplo, para mysql debes usar mysql_real_escape_string(), pero eso te soluciona solo la parte del SQL injection, falta lo del XSS injection que, de momento, podrias solucionar con:

str_ireplace('<script', '&lt;script', $cadena);