Forum PHP.pl

Witam, jestem w trakcie tworzenia pierwszej strony która będzie odwiedzana przez większą ilość użytkowników. I tu się trochę obawiam o bezpieczeństwo dlatego wolę zapytać czy mój kod jest wystarczająco bezpieczny.

Na stronie będzie wiele formularzy. Każda zmienna z formularza jest filtrowana w ten sposób:

[PHP] pobierz, plaintext 
<?php function clear($text) {
    if(get_magic_quotes_gpc()) {
        $text = stripslashes($text);
}
	$text=mysql_real_escape_string(htmlentities(trim($text)));
    return $text;
} ?>
[PHP] pobierz, plaintext 

A do bazy danych dane przesyła się tak:

[PHP] pobierz, plaintext 
$zap="INSERT INTO `chat` (`od`, `time`, `say`) VALUES
 ('$anon_nick', '$time', '$say')";
mysql_query($zap) or die('Dodanie wpisu nie powiodło się.');
[PHP] pobierz, plaintext 

I tu pytanie czy to jest bezpieczny sposób? Myślałem jeszcze o zamienieniu znaku apostrof i cudzysłowia na encję by przy wyświetleniu zamieniało z powrotem na ten znak. W niektórych przypadkach nie mogę zabronić użytkownikom używania tych znaków ale wiem, że można ich użyć do ataku, więc czy zamiana ' i " na encję sprawi, że kod sql injection się nie wykona? Jeśli tak to: Zauważyłem, że funkcja htmlentities zamienia cudzysłów na encję (w bazie danych jest encja a w przeglądarce widać z powrotem cudzysłów) i to samo ze znakami >< jednak pozostał znak ' czyli apostrof i tu pytanie czy jest funkcja która zrobi to samo z tym znakiem czy muszę zamieniać znak na encję oraz przy wyjściu samodzielnie zamieniać encję na apostrof?