Ahora estoy usando esto para filtrar.
Código PHP:
function sql_escape_string($value)
{
global $link;
if (get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
if (!is_numeric($value))
{
$value = mysqli_real_escape_string($link, $value);
}
return $value;
}
Aparte de filtrar cada string por las caracteristicas que se supone que tienen que tener. No se si hay algo mas que se pueda hacer.
Gracias por el link, voy a leermelo.