de la misma forma que md5.

$username = htmlentities($username);

lo que hace htmlentities es por ejemplo los caracteres como ñ,áéíóú y caracteres raro lo cambia por su equivalente en html (&noacute; á ) la verdad que no me acuerdo los equivalentes en html pero es algo asi xD

Usando eso te evitas una inyeccion sql, hay formas diferentes para evitar esto como real_scape_string o algo asi...