Pareizāk, manuprāt būtu nodefinēt, kādi simboli ir pieļaujami lietotājvārdā un neļaut vadīt neko citu. Piemēram, ja lietotājvārds var sastāvēt tikai no latīņu burtiem un cipariem, tad pārbaude ir šāda:
if(preg_match('/[^a-z0-9]/mi',$_POST['lietotajvards'])){
//Nekorekti simboli
}
else{
//Korekti simboli, turpinām ar mysql_real_escape() - tas nekas, ka nav atļautas pēdiņas, ja nu kaut kādā brīdī atļausim, nebūs jāfilozofē, kur un kas jāmaina
}