Ten tutorial pokazuje to źle, dlatego rozważ zmianę źródła.
Podstawowymi mechanizmami zabezpieczającymi przed sqli jest prepared statement oraz parameterized queries. W takiej formie w jakiej user podaje dane powinny się one znaleźć w bazie danych. Oczywiście są odstępstwa od tej reguły - przykładem może być tutaj trimowanie adresu email, które jest w pełni zasadne. Zerknij na metodę PDO::prepare.
Innym tematem jest wyświetlanie tych danych. Jeśli renderujesz stronę na serwerze, to należy używać takich funkcji jak htmlentities, po to, aby uniknąć interpretacji danych od usera jako kodu HTML/Js. Tak unikasz ataku XSS.