Hola,
Perdón por todo el párrafo que me disparé, pero es que muchas veces me contestan: no ... estás equivocado y siguen con lo mismo de la inyección SQL,
Cita:
Iniciado por ZeThito 
$out_str = mysql_real_escape_string($out_str);
Me alegro que hayas solventado tu duda, y solamente voy a agregar un último detalle, la inyección SQL se logra insertando caracteres que tienen un significado especial para el motor de base de datos, como las comillas, el punto y coma, el doble guión, etc.
La única instrucción necesaria en MySQL para evitar inyección SQL es mysql_real_escape_string, todo lo demás de strip_tags, htmlentities, etc., sirve para evitar otro tipo de mal uso de las páginas web, que también es inyección pero no inyección SQL, porque modifica otro tipo de contexto.
Como por el ejemplo, el caso de inyección de javascript dentro de un comentario de un post; pero lo que se conoce como inyección SQL es la modificación de una instrucción SQL para que realice actividades indeseadas en la base de datos y se evita en 'casi' todos los casos solamente con mysql_real_escape_string.
Saludos,