evet preg_match ile rahatça yapabilirsin ben hep onu kullanıyorum.kullanıcılardan aldığım verileri, istemediğim karakterlerden süzdürmek yerine izin verdiğim karakterleri kullanıyorum çünkü binlerce bilmediğimiz karakterler var hepsini engelleyemeyeceğimizden izin verdiklerimizi kullanmak daha iyi.yok mysql için escape et yok html karakterlerinden temizle bir sürü şeyi var. en iyisi izin verilen karakterleri kabul etmek.