osea seria algo asi?

$query=sprintf("insert into folios(oficio) values('%s')", mysql_real_escape_string($oficio), strip_tags($oficio));

Aunque asi le puse y no me salio.. O dentro del parentesis debo escribir los caracteres que no deseo permitir?