ここで書いてあることだけでは十分とは言えませんが、これだけでも心当たりがあるシステムがやまほどあるはずです。

mysql_set_charsetを使用する

MySQLへクエリーを発行する際に文字エンコーディングを指定する方法として、以下のような方法がよく紹介されていますが、これは間違いです。

// 誤った方法
mysql_query("set names utf8");

以下のようにmysql_set_charset()関数を使用しなければ、mysql_real_escape_string()関数が誤った文字エンコーディングを前提にしてエスケープしようとしてしまいます。

// 正しい方法
mysql_set_charset("utf8");

詳しい説明は以下のサイトなどを参考にどうぞ。

mysql_real_escape_stringを使う

addslashes()というよく似た関数もありますが、それでは不完全です。

また、mysql_set_charset()と必ずセットで使用するべきです。

header()関数等で文字エンコーディングを明確に指定する。

これは、MySQLを使っているかどうかに限らず、常に心がけるべきです。

header("Content-type: text/html; charset=UTF-8");

header()関数ではなく、php.iniやhttpd.confでもデフォルトのエンコーディングを指定できますので、可能な場合はそちらも使用した方がベターです。

mb_convert_encoding()にautoを使用しない

可能であれば、mb_convert_encoding()に指定する変換前のエンコーディングはautoにしないで明示的に指定しましょう。

header()関数やphp.iniなどで出力エンコーディングを明示的にクライアントに知らせてあげれば、まっとうなブラウザなら期待通りのエンコーディングで返してくれます。

また、以下のような記述を入れて不正な文字エンコーディングを検出したらその後の処理を中断するべきです。

function check_encoding($key, $value) {
  if (!mb_check_encoding($value, 'UTF-8')) {
    die('不正な文字コード');
  }
}

array_walk_recursive($array, 'check_encoding');

内部エンコーディングにSJISを使用しない

これは論外。
某有名SNSのPHP関連のコミュニティで、SJISを使うという回答がかなり多くてびびりました。

PHPのマニュアルにも以下のような記載があります。

注意: SJIS, BIG5, CP936, CP949, GB18030 は、読者がパーサ/コンパイラ、 文字エンコーディングと文字エンコーディングの問題点について精通していない限り 内部エンコーディングとして使用するべきではありません。

検証していませんが、mb_real_escape_string()も期待通り動くかどうか怪しいですし、EUC-JPやUTF-8を使用すれば、そんな検証をする必要もありません。

てっとりばやく使えるPHPだからこそマニュアルには従うべきですよね。

その他

できれば、プリペアードSQLを使うのがベターなのですが。。。
まだ怪しいかんじなのでMySQLに関しては使ってないです。

ところで。。。

テーマファイルを変えてみました。