ユーザの入力にフィルタリングをかけられるって、よく誤解されてますよね。
マジッククオートとかとも言われますけど、そういうことはできません。

3つ方法があるので紹介します。

1.string関数を使用し、その言語の文法に合わせてエスケープするようにします。 たとえば、MysqlにてSQLを使う場合、 Mysqlの関数を使ってstring関数をエスケープするように書けばいいんです (mysql_real_escape_string)。

2.HTML出力の際に解釈させる方法もあります。HTMLマークアップに関しては、 htmlspecialcharsを使ってエスケープします(これを使うときは、 すべてのprintやechoにhtmlspecialcharsを使わないといけません)。

3.もうひとつ使えるのがshell コマンドです。 文字列を使って外部のコマンドに飛ばして、 さらにexecで呼び出したいときはescapeshellcmdやescapeshellargを使います。

などなど・・・。

もちろんプリフォーマットされた入力を受けるときに限っては、データにフィルタをかけられます。
ユーザにHTMLで入力させたものを、そのままサイトに載せるときなどです。
もしそうでないなら、セキュリティ面でのリスクがあるので、入力させるべきじゃないですよ。
どんなにうまくフィルタリングしたと思っても、欠陥があるものなので。。