securité : quelle est la meilleure solution ?

[fwebconcept]

bonjour voila j'aurait une petit question securitée,

je voulais avoir quelle est la meilleure methode pour eviter toute injection sql et code malveillant.

jusqu'a present j'appliquait a toute variable recuperé par la fonction $_GET ou $_POST :

$mavariable=htmlentities($mavariable, ENT_QUOTES);

et j'envisageait d'y faire suivre :

$mavariable=addslashes($mavariable);

mais on m'a conseillé de plutot appliquer cela :

$mavariable = htmlspecialchars($mavariable); // Pour virer les chevrons, etc.
$mavariable = mysql_real_escape_string($mavariable); // Pour protéger la fonction des caractères spéciaux des requêtes SQL.

quelle est la meilleure solution ? y a t il quelquechose de mieux? que me conseillez vous?

merci beucoup