mysql_real_escape_string в данном случае. Если предполагается прием данных не одного поля, то лучше так:
array_walk_recursive($_POST, function(&$v) {
return '"' . mysql_real_escape_string(stripslashes(trim($v))) . '"';
});
Можно проверять тип, и для значений is_numeric() приводить данные к integer, а экранирование и кавычки для строк. А вообще надо переходить на PDO, ну или mysqli, где эти задачи (экранирование) решаются на уровне драйвера.
$description = $_POST['description']; else $description = ""; - это бесполезная операция.