Yo uso esto al inicio de tooodas mis paginas con un include, de hecho creo que lo saque de aqui de este foro
Código PHP:
//Evitar SQL Injection (Seguridad)
foreach ($_POST as $key => $value) { $_POST[$key] = mysql_real_escape_string($value); }
foreach ($_GET as $key => $value) { $_GET[$key] = mysql_real_escape_string($value); }