1)
Lo que te está diciendo es esto
Código PHP:
$link = obtener_conexion_db(); // ;)
$cadena = "LALALA";
$escapada = mysql_real_escape_string($cadena, $link);
$escapada_mysqli = mysqli_real_escape_string($link, $cadena);
2) Claro, puedes validarla en el cliente y en el servidor, para que no contenga esos carácteres, con expresiones regulares por ejemplo ;)