http://d.hatena.ne.jp/gallu/20070626/p2

$value = htmlspecialchars($value);
$sql = 'INSERT ... '.$value.'...';

とかよくみかけます．
いやSQL Injectionは防げるかもしれないけど(苦笑 「なぜエスケープしないといけないか?」ということを考えていない andor 理解していないことを，この1〜2行でこちら側に理解させるというコードですね．