yani bu yeterli değil midir
$ad = htmlspecialchars(strip_tags(mysql_escape_string($_REQUEST["ad"])));