buenas tengo una consulta que de seguro alguno me podra ayudar.
tengo que hacer un INSERT en una base de datos MYSQL, los datos los saco por POST de un form. el tema es que estube leyendo algo de inyeccion sql y estoy tratando aprender. quiero filtrar las palabras y signos(drop,insert,etc..) que puedan intentar una inyeccion en my script sql.
tengo esta funcion:

function filtrar($variable){
if($variable){
$variable=str_replace("union","x",$variable);
$variable=str_replace("insert","x",$variable);
$variable=str_replace("delete","x",$variable);
$variable=str_replace("drop","x",$variable);
$variable=str_replace("update","x",$variable);
$variable=str_replace("like","x",$variable);
$variable=str_replace("*","x",$variable);
$variable=str_replace("?","x",$variable);
$variable=str_replace("and","x",$variable);
$variable=str_replace("or","x",$variable);
$variable=str_replace("-","x",$variable);
$variable=str_replace("=","x",$variable);
$variable=str_replace("%","x",$variable);
}else unset($variable);
return $variable;
}


lo que quiero saber es si hay una forma de que sepuedan escribir las palabra claves(insert,delete,and,or) sin que afecte el script
porque de ultima son palabras que una persona sin ninguna intencion pueda querer escribir en un campo de comentario

que solucion hay que no conosca

muchas gracias a todos por tomarse el tiempo de leer y comentar
saludos