Sadece mysql_escape_string bu yeterli hatta sadece bunu kullanmak doğru diyeyim.

htmlspecialchars(strip_tags(mysql_escape_string($_ REQUEST["ad"])))

Güvenli yapacam diye bu şekilde kullanmanız yeri geldiğin yanlış bile olabilir.