Te recomiendo que cualquier variable que venga del exterior la pases por stripslashes y addslashes (o preferiblemente, si esa variable va a ir a una consulta sql, mysql_real_escape_string)

La función de addslashes y stripslashes es la opuesta, y podría parecer una tonteria aplicar las dos, pero tienes dos opciones, o detectar si el servidor pone las barras de escape automaticamente con get_magic_quotes_gpc y si lo aplica no hacer nada, y si no lo aplica pues aplicarlo tu con addslashes, y la otra opción es pasar cualquier variable externa por stripslashes (en ese caso, si añadir la barra de escape automaticamente esta activado, se quitara, y si no esta activado la función no hará nada ya que no hay nada que quitar) y seguidamente usar addslashes (para que finalmente tenga las barras de escape, y así te aseguras que siempre las tenga) o mysql_real_escape_string ya que es identica a addslashes pero tiene más cosas que puede prevenir en los ataques a la base de datos, y sobre reemplazar, creo que con lo que tienes bastaría, pero creo que lo más recomendable es que uses htmlentities ya que hace lo mismo, reemplazar, reemplaza más caracteres, y el código es más limpio.

P.D: Y no veo lógico reemplazar esos caracteres que has puesto en tu último post, la cuestión es reemplazar los caracteres por la codificación que tienen en html, para que se sigan mostrando en pantalla, pero que no tengan efecto a nivel código, y tu en esos replaces que has puesto no veo que los reemplaces por su codificación en html.


Un saludo