Segurança - Sql injection

Tava olhando como me proteger desse sql injection e achei aqui mesmo no forum essa função:

<?php function anti_injection($sql)
{
// remove palavras que contenham sintaxe sql
$sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);
$sql = trim($sql);//limpa espaços vazio
$sql = strip_tags($sql);//tira tags html e php
$sql = addslashes($sql);//Adiciona barras invertidas a uma string

return $sql;
}

Mas não me contentei e continue pesquisando e me veio a duvida.

1.: Qual é mais eficiente, o mysql_real_escape_string() ou o addslashes()?

Também li que é possivel burlar o addslashes() com um conjuntos de caracteres de vários bytes ( ' → 0 0 1 0 0 1 1 1).

2.: Então o que eu poderia adcionar a essa função para ela ser quase totalmente segura?