Para mi lo mejor que puedes hacer es validar primero los datos.

Esto quiere decir que si esperas un numero, compruebes que sea un numero, que si esperas una cadena de a-Z sin simbolos estraños, compruebes que es así, ecetera...

Una vez validados todos los datos que los escapes con las funciones indicadas que provee el lenguaje.

Igualmente que establezcas la codificacion de caracteres de la conexion con la base de datos de forma adecuada y explicita para que tanto la base de datos como php esten en concordancia, piensa que muchas de las funciones de escape como mysqli_real_escape_string() realizan su funcion en base a la codificacion establecida en la conexion que se le pasa.

Al crear usuarios para la conexion con la base de datos otorgale solo los privilegios necesarios, no hay necesidad de permitirle opciones que no necesita de antemano, siempre hay tiempo de ampliar los privilegios si es que es necesario.

Evita que los errores se muestren, tanto de php como de la base de datos, los errores solo deberian estar activos en la fase de desarrollo, nunca en produccion.

Si has leido el manual y los enlaces que pones mas o menos vienen a decir eso.

Tambien puedes utilizar sentencias preparadas como indica en el manual.