Tambien podes utilizar alguna abstraccion de base de datos que se encargan de escapar/sanitizar las querys automaticamente. Si utilizas algun framework de PHP (CodeIgniter, Kohana, etc), tanto las librerias de DB, ActiveRecord y ORM contemplan sanitizacion de parametros para evitar inyeccion de SQL.

Ademas, estos frameworks, sanitizan los parametros de POST/GET y tienen filtros para evitar XSS.