En garanti çözüm pdo, kullanımı da çok zor değil,

$db = mysql_connect()...; yerine $db = new \PDO(dsn, user, password);

mysql_query().. yerine de $stmt = $db->prepare(SQL); $db->execute(parametreler); $results = $db->fetchAll(); olacak. SQL i hazırlarken de "SELECT * FROM tablo WHERE id = '" . $_POST['id'] . "'" yerine "SELECT * FROM tablo WHERE id = ?" olacak, execute kısmında parametre verilecek, isteyen olursa detaylı bir örnek yapabilirim