[danjel]

Eller kör PDO om servern har det installerat, vilket de flesta har..
Så detta är tex säkert mot sql injection:

$dbh = new PDO(..);

$stmt = $dbh->prepare('SELECT * FROM users where username = :username');
$stmt->execute( array(':username' => $_POST['username']) );