¿y porque no va a funcionar?
Código PHP:
$foo = array('"' => '', "'" => '');
$bar = strtr('Hola "mundo"', $foo);
a menos que no sepas usar la función entiendo, pero solo hasta ahí...
¿ya has leído el manual?
http://php.net/strtr
además te han mentido, pues
strtr() no previene de ataques... es un mito...
lo que si te puede ayudar es
mysql_real_escape_string()
http://php.net/mysql_real_escape_string