El único método que conozco es este. Tienes que pasarle a la consulta mysql real escape string para que retire los caracteres especiales de la cadena, antes de ejecutar la consulta.

$consulta = $mysqli->real_escape_string($consulta);

uso mysqli porque mysql está desaconsejado ya pero lo puedes hacer con mysql de toda la vida. Si lo haces así recuerda que hay que iniciar el objeto $mysql.